news

Une faille de sécurité sur les tokens ERC-20

Par Floriane le 02/05/2018 (Technologie)
0


EXMO affiliate program

Une faille de sécurité a été découverte sur certains smart contracts. Celle-ci permettrait de générer de nouveaux exemplaires d’un token ERC-20 reposant sur la blockchain Ethereum. La faille a été découverte dans le GitHub des tokens en question et permettrait à tout un chacun de créer un nombre illimité de tokens, en plus de ceux déjà en circulation. Une forme de hacking qui aurait pu faire s’effondrer la valeur des tokens concernés, une fois des milliards de nouveaux tokens mis en circulation.

La réaction des exchanges face à la nouvelle

La startup Peckshield, spécialisée dans la sécurité, est la première à avoir mis le doigt sur la faille de sécurité, et ce le 22 avril dernier. Un système d’alerte s’est déclenché à la suite d’une transaction plus que suspicieuse. La personne ayant procédé à une manipulation sur le token Beauty Chain (BEC) est parvenue à créer au total 57,9 1057 tokens, une somme colossale qui ne pouvait pas passer inaperçue. Au moment de la création de ces tokens, le BEC étant coté à 0,32$, le montant global de la valeur ainsi créée était complètement délirant...

PeckShield a rapidement lancé une enquête afin de parvenir à trouver la faille en question mais deux jours plus tard, le même phénomène se répétait, touchant le SmartMesh et résultant à nouveau dans la production d’une quantité colossale de tokens. La brèche semble presque trop belle pour être vraie, comme s’il était aussi simple de créer des tokens que des dollars supplémentaires sur le jeu vidéo des Sims (comment ça, vous n’aviez pas entendu parler du code « motherlode » ?).

Suite à cette découverte, de nombreux exchanges ont décidé de bloquer temporairement l’accès à la totalité ou à une partie des tokens ERC-20 listés chez eux. Poloniex, Changelly ou encore OKEx font partie des plateformes à avoir mis en place des mesures exceptionnelles, le temps de résoudre la faille et d’informer leurs utilisateurs via Tweeter, comme on peut le lire ci-dessous.

« Nous avons temporairement suspendu les dépôts et retraits en tokens ERC-20 et revoyons actuellement l’ensemble des smart contracts exposés au bug batchOverflow. Nous prenons tout rapport de vulnérabilité très au sérieux afin de garantir la sécurité des fonds de chaque client. Merci pour votre patience ! » — Poloniex (@Poloniex), 25 avril 2018

« Chers clients, les tokens ERC-20 sont temporairement indisponibles en raison d’une vérification informatique. Nous les rendrons de nouveau disponibles une fois que nous serons sûrs que les cautions déposées ne seront plus vulnérables. Suivez les mises à jour pour vous tenir informés ! ». — Changelly.com (@Changelly_team), 25 avril 2018.

De son côté, la plateforme d’échange Changelly a identifié clairement la ligne du code défaillante qui permettait la création illimitée de tokens et partagé une capture d’écran la montrant, incitant ainsi à une correction rapide.

Deux précautions valant mieux qu’une, la plateforme OKEx a annoncé repasser sur toute transaction en token Beauty Chain. Allant encore un pas au-delà, Binance a lancé un audit indépendant de tous les tokens ERC-20 disponibles chez eux, puis a annoncé que, selon cet audit, aucun des tokens analysés n’est concerné par cette faille.

Panique à bord !

Les premiers moments après que la nouvelle fut connue du grand public (quand même deux jours après que la première création de cryptos ait eu lieu) ont semé la confusion chez la plupart des détenteurs de tokens ERC-20. Au bout de quelques heures, des développeurs se sont ensuite aperçus que toutes les crypto-monnaies ERC-on n’étaient pas concernées, mais seulement celles utilisant la fonction « batchtransfert ». Heureusement, cette fonction ne fait pas partie de la norme ERC-20 standard mais n’est qu’une option facultative. Il ne s’agit donc pas d’un défaut inhérent au standard mais bien d’un problème dans la conception des smarts contacts de certaines cryptos. Selon PeckShield, le nombre de tokens concernés par cette faille reste limité : BEC, MESH, UGToken, SMT, SMART, MTC, FirstCoin, GG Token, CNY Token, CNYTokenPLus.

Si la crise a bien été gérée par les exchanges, elle incite néanmoins à la prudence tant pour les utilisateurs que pour les concepteurs, qui devraient systématiquement penser à faire auditer leur smart contracts avant de lancer leur token…

Disclaimer : ce type d'investissements étant hautement spéculatifs, les divers contenus publiés ici ne constituent en rien une incitation à investir, ni une garantie de succès. Prudence donc. Et si vous décidez de vous lancer, ne le faites qu’avec des montants que vous pouvez vous permettre de perdre.

Suivez-nous sur les réseaux sociaux et ne ratez aucune de nos actualités !



laisser un commentaire

Vous devez vous connecter ou créer un compte pour pouvoir publier des commentaires.