IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Piratage de la cryptomonnaie ether : les responsables d'Ethereum proposent de recalculer le blockchain
De sorte à invalider les ethers volés

Le , par Victor Vincent

106PARTAGES

2  0 
Le piratage de la cryptomonnaie ether qui a privé Ethereum de plus du tiers de sa valeur menace sérieusement cette dérivée du Bitcoin de disparition. Pour éviter la crise, les responsables de la structure ont proposé de recalculer le blockchain de sorte à invalider les ethers volés. Cependant, si cette mesure devait être adoptée, il faut qu’elle soit approuvée par une majorité d’au moins 51 % des mineurs sous la forme d’une mise à jour logicielle qu’ils installeraient sur leurs serveurs. Le fondateur d’Ethereum, Vitalik Buterin a déclaré qu’il soutiendrait une telle initiative tout en reconnaissant qu’elle ne serait pas gagnée d’avance, car la décision finale revient aux mineurs qui ont la liberté de l’approuver ou non.

Cette possible solution est encore loin d’être la lumière au bout du tunnel pour recouvrer les 50 millions volés et faire en sorte que le pirate ne puisse jamais les utiliser. En effet, la simple annonce de cette mesure a déclenché de vives réactions dans la communauté Ethereum. Les opposants à cette idée estiment que si Ethereum a été conçu avec ses propres langages de programmation dédiés, c’est pour éviter ce genre de manipulations et pour permettre au système de fonctionner en toute transparence en utilisant le protocole des « smart contracts ». Ces « contrats intelligents » permettent notamment le paiement automatique des fonds lorsqu’un certain nombre de conditions sont remplies.

Les opposants à une éventuelle modification du code source appuient leur position en déclarant que ce qui fait la force d’Ethereum c’est sa nature décentralisée qui est censée être à l’abri du contrôle aussi bien des banques que des gouvernements ou encore des groupes de lobbying. Le chercheur en sécurité Rob Graham, s’exprimant sur la question, a déclaré qu’essayer de résoudre le problème auquel Ethereum fait face actuellement de cette façon, c’est trahir l’idée première de la philosophie de tels systèmes financiers : échapper à la corruption humaine. Pour lui, une telle mesure serait comparable au sauvetage des institutions financières de Wall Street en 2008 par l’argent du contribuable.

Pour l’heure, il n’y a aucune indication du soutien de cette proposition par quelques mineurs que ce soient, ce qui fait penser aux moins optimistes que l’avenir de cette monnaie virtuelle est gravement menacé. En effet, si la décision du rollback venait à être adoptée par la majorité des mineurs, il serait dès lors difficile de convaincre les détracteurs que la gestion de la monnaie virtuelle est décentralisée et incorruptible pour servir des intérêts personnels. Dans le scénario opposé, ce serait une utopie de prédire un avenir radieux à cette monnaie qui n’est encore qu’à ses débuts et qui se trouve aujourd’hui privée d’une part aussi importante de sa valeur.

Source : blog Vitalik Buterin, blog.erratasec.com

Et vous ?

Pensez-vous que recalculer le blockchain soit une solution acceptable pour sauver cette monnaie virtuelle ?

Voir aussi

Un bug de la cryptomonnaie ether permet à un hackeur de s’emparer de 50 millions $ en exécutant une fonction récursive du système de transaction

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de zoulman
Futur Membre du Club https://www.developpez.com
Le 23/06/2016 à 18:06
L'article n'est pas du tout exact...
La crypto monnaie ether n'a absolument pas été hacké et ethereum en soi n'est pas en cause.
Ce qui a été hacké c'est The DAO, un fond d’investissement décentralisé qui est (ou était plutôt) le plus gros smart contract de la blockchain avec environ 150 millions d'euros dans celui ci.

Ça change pas mal de choses sur la question du fork parce qu'en fait le smart contract s'est exécuté tout à fait normalement : c'est simplement l'auteur de celui ci qui n'a pas été assez vigilant et qui n'a pas vu une faille de sécurité dans celui ci.
Sachant qu'il s'est exécuté normalement et que le bug vient juste du contrat qui était mauvais, les anti fork considère qu'il n'y a pas de raison de forker la blockchain et d'ainsi casser le "code is law"
La question c'est donc de savoir si on doit suivre ce principe à la lettre pour ne pas casser la propriété d'immuabilité de la blockcahin ou bien si exceptionnellement il faut intervenir pour empêcher le voleur de partir avec les 50 millions d'euros et les rendre à la DAO.
5  0 
Avatar de Dymmm
Membre actif https://www.developpez.com
Le 23/06/2016 à 12:30
Attention, il n'est pas question ici de rollback ou d'alterer la blockchain. Il est plus question, en somme, de modifier une partie du logiciel afin de bloquer les fonds détournée et / ou les restituer a TheDAO. Il est interressant de noter que le choix n'appartient pas tellement aux mineurs proprement dit. Les mineurs se regroupant dans des "fermes" afin de mettre en commum leurs puissances de calcul seul les personnes gérant le logiciel de la ferme devront faire le choix. Selon les mineurs intéréssés ce choix de fera selon des critères purement financiers et ne sera pas guidé par l'éthique ou par les principes fondamentaux que souhaitait véhiculer la monnaie elle meme.
Pour beaucoup, cette intervention sur le logiciel est bien l'aveux que cette monnaie ne tiens pas ses promesses. Il y a donc bel et bien un lobbying possible pour réguluer la monnaie. Ici, la DAO en difficulté va probablement réussir à obtenir des developpeur de Ethereum un bannissement d'un compte afin de récupérer de l'argent perdu suite à un smart contract contenant une faille.
Plus personnellement, d'un point de vue technique je peux comprendre l'intervention, car le détournement à probabelment été fait sachant que les personnes ayant écrit le smart contract ne souhaitait pas ouvrir une telle "fonctionnalité". D'un point de vue éthique, je désaprouve l'intervention car elle prouve que une organisation possédant une grosse somme peu obtenir l'altération du fonctionnement de cette monnaie. Bien entendu, si j'avais eu des billes dans TheDAO mon avis serait bien différent
2  0 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 24/06/2016 à 10:26
Citation Envoyé par verbose Voir le message
C'est le mode décentralisé qui est au coeur de la faille de sécurité. La conception des contrats étant libre, elle est susceptible, malgré toute la bonne foi et l'honnêté de son développeur, d'héberger une faille.
Ce n'est pas le mode décentralisé qui est en cause (tout du moins pour le problème orginal, pour sa résolution on pourrait en discuter) Le mode décentralisé te permet de t'assurer que le code du contrat que t’exécute et les données manipulées n'ont pas été modifiées par un tiers. Rien ne te dit que le contrat, légitime, n'est pas bourré de failles.

Centralisé ou décentralisé, tu utilise un service crée par un tiers, à qui tu fait assez confiance pour utiliser ledit service. L'erreur de base a sans doute été d'injecter autant d'argent dans the DAO alors que la plateforme Ethereum est encore très jeune et en rodage.
1  0 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 24/06/2016 à 14:42
Citation Envoyé par Logan Mauzaize Voir le message
Citation Envoyé par Dymmm Voir le message
Les mineurs se regroupant dans des "fermes" afin de mettre en commum leurs puissances de calcul seul les personnes gérant le logiciel de la ferme devront faire le choix.
Étant des "associés" (désolé je connais pas le terme) des adresses du pool, ils n'ont pas leur propre voix ? Et rien ne les empêche de quitter le pool s'ils ne sont pas d'accord avec sa décision.
Certains pool (la plupart? tous?) ont ouvert un vote auprès des mineurs des pools en questions. Par exemple (ethpool et ehtermine):
https://forum.ethereum.org/discussio...pool-ethermine

Les résultats pour ethpool et ethermine:
http://ethpool.org/stats/votes
http://ethermine.org/stats/votes
1  0 
Avatar de verbose
Membre éclairé https://www.developpez.com
Le 25/06/2016 à 14:32
Citation Envoyé par benjani13 Voir le message

Centralisé ou décentralisé, tu utilise un service crée par un tiers, à qui tu fait assez confiance pour utiliser ledit service. L'erreur de base a sans doute été d'injecter autant d'argent dans the DAO alors que la plateforme Ethereum est encore très jeune et en rodage.
Je pense que le problème d'Ethereum est qu'il permet aux Smart Contracts d'accéder aux Ethers de ses utilisateurs. À partir de là, si une faille existe dans la manipulation de ces Ethers, rien dans l'infra d'Ethereum n'est là pour mettre un garde fou.
1  0 
Avatar de nchal
Membre expérimenté https://www.developpez.com
Le 23/06/2016 à 11:07
À qui profite le crime ? Y'a forcement un autre projet derrière qui va prendre la place d'Ethereum... C'est un peu con que l'ombre malveillante du capitalisme planne sur des projets avec d'aussi belles ambitions.
0  0 
Avatar de Logan Mauzaize
Rédacteur/Modérateur https://www.developpez.com
Le 23/06/2016 à 12:27
Citation Envoyé par Victor Vincent Voir le message
Les opposants à cette idée estiment que si Ethereum a été conçu avec ses propres langages de programmation dédiés, c’est pour éviter ce genre de manipulations et pour permettre au système de fonctionner en toute transparence en utilisant le protocole des « smart contracts ». Ces « contrats intelligents » permettent notamment le paiement automatique des fonds lorsqu’un certain nombre de conditions sont remplies.
Je vois pas où s'est perdue la transparence ...

Citation Envoyé par Victor Vincent Voir le message
Les opposants à une éventuelle modification du code source appuient leur position en déclarant que ce qui fait la force d’Ethereum c’est sa nature décentralisée qui est censée être l’abri du contrôle aussi bien des banques que des gouvernements ou encore des groupes de lobbying. Le chercheur en sécurité Rob Graham, s’exprimant sur la question, a déclaré qu’essayer de résoudre le problème auquel Ethereum fait face actuellement de cette façon, c’est trahir l’idée première de la philosophie de tels systèmes financiers : échapper à la corruption humaine. Pour lui, une telle mesure serait comparable au sauvetage des institutions financières de Wall Street en 2008 par l’argent du contribuable.
La corruption c'est le principe "d'acheter" une bonne partie du pouvoir de décision (30-40% suffise). Or, ici personne ne possède cette capacité. La décision revient bien à tous les "actionnaires". Donc la situation prouve parfaitement les valeurs du système.

Le fonctionnement des institutions financières étant aussi virtuel que celui des monnaires virtuels, il est clair que c'est exactement la même chose. A la différence prêt qu'il s'agit d'un système relativement fermé et seul celui-ci est impacté contrairement aux flux financiers qui sont interdépendants.

Citation Envoyé par Victor Vincent Voir le message
Pour l’heure, il n’y a aucune indication du soutien de cette proposition par quelques mineurs que ce soient, ce qui fait penser aux moins optimistes que l’avenir de cette monnaie virtuelle est gravement menacé. En effet, si la décision du rollback venait à être adoptée par la majorité des mineurs, il serait dès lors difficile de convaincre les détracteurs que la gestion de la monnaie virtuelle est décentralisée et incorruptible pour servir des intérêts personnels. Dans le scénario opposé, ce serait une utopie de prédire un avenir radieux à cette monnaie qui n’est encore qu’à ses débuts et qui se trouve aujourd’hui privé d’une part aussi importante de sa valeur.
Ce qui est con c'est que la question ne se pose pas à mon avis. Soit ils perdent la valeur produite depuis l'incident ce qui reste une minorité de la valeur totale et le système continue à fonctionner. Soit le système s'arrête et il n'y a plus aucune valeur.

Et plus le temps passe et plus la valeur produite depuis l'incident augmente (sauf si tous les mineurs sont à l'arrêt ?) et donc les pertes augmentent ...

Ou alors j'ai loupé quelque chose ?
0  0 
Avatar de
https://www.developpez.com
Le 23/06/2016 à 13:39
Citation Envoyé par Dymmm Voir le message
Les mineurs se regroupant dans des "fermes" afin de mettre en commum leurs puissances de calcul seul les personnes gérant le logiciel de la ferme devront faire le choix. Selon les mineurs intéréssés ce choix de fera selon des critères purement financiers et ne sera pas guidé par l'éthique ou par les principes fondamentaux que souhaitait véhiculer la monnaie elle meme.
En sachant qu'à la base la blockchain a été conçue pour être complètement décentralisée ...
Perso je n'ai jamais miné d'Ethereum, mais juste pour le coup j'ai bien envie de lancer un mineur mais sans la modification pour peser un peu plus dans les votes contre. Pas par intérêt, mais par réaction à TheDAO.
0  0 
Avatar de verbose
Membre éclairé https://www.developpez.com
Le 23/06/2016 à 19:00
Je ne connais Ethereum que de loin, mais la première pensée qui me vient est que ce qui a été fait une fois pourra l'être à nouveau. Le piratage qu'a subit DAO me semble lié à la nature même des Smarts Contract. Ethereum ne peut pas protéger ses utilisateurs de la corruption d'un contrat. Il sera toujours possible à un pirate d'exploiter une faille dans un Smart Contract si cette faille existe. C'est le mode décentralisé qui est au coeur de la faille de sécurité. La conception des contrats étant libre, elle est susceptible, malgré toute la bonne foi et l'honnêté de son développeur, d'héberger une faille.
0  0 
Avatar de Logan Mauzaize
Rédacteur/Modérateur https://www.developpez.com
Le 24/06/2016 à 14:05
Citation Envoyé par Dymmm Voir le message
Attention, il n'est pas question ici de rollback ou d'alterer la blockchain. Il est plus question, en somme, de modifier une partie du logiciel afin de bloquer les fonds détournée et / ou les restituer a TheDAO. Il est interressant de noter que le choix n'appartient pas tellement aux mineurs proprement dit.
Citation Envoyé par zoulman Voir le message
La crypto monnaie ether n'a absolument pas été hacké et ethereum en soi n'est pas en cause.
Ce qui a été hacké c'est The DAO, un fond d’investissement décentralisé qui est (ou était plutôt) le plus gros smart contract de la blockchain avec environ 150 millions d'euros dans celui ci.

Ça change pas mal de choses sur la question du fork parce qu'en fait le smart contract s'est exécuté tout à fait normalement : c'est simplement l'auteur de celui ci qui n'a pas été assez vigilant et qui n'a pas vu une faille de sécurité dans celui ci.
Sachant qu'il s'est exécuté normalement et que le bug vient juste du contrat qui était mauvais, les anti fork considère qu'il n'y a pas de raison de forker la blockchain et d'ainsi casser le "code is law"
Merci pour ces explications et précisions qui sont relativement importantes.

Citation Envoyé par Dymmm Voir le message
Les mineurs se regroupant dans des "fermes" afin de mettre en commum leurs puissances de calcul seul les personnes gérant le logiciel de la ferme devront faire le choix.
Étant des "associés" (désolé je connais pas le terme) des adresses du pool, ils n'ont pas leur propre voix ? Et rien ne les empêche de quitter le pool s'ils ne sont pas d'accord avec sa décision.

Citation Envoyé par Dymmm Voir le message
Selon les mineurs intéréssés ce choix de fera selon des critères purement financiers et ne sera pas guidé par l'éthique ou par les principes fondamentaux que souhaitait véhiculer la monnaie elle meme.
Je vois pas en quoi. Chacun prend ses propres décisions avec ses propres critères. Si les gens y viennent avec un intérêt financier, ce sera l'argent qui sera le pouvoir de décision. Il en reste pas moins que chacun a sa propre voix et devra se plier au système démocratique. Encore que chacun reste libre de partir dans la direction qui lui convient et provoquer la scission de la communauté.

Citation Envoyé par Dymmm Voir le message
Pour beaucoup, cette intervention sur le logiciel est bien l'aveux que cette monnaie ne tiens pas ses promesses. Il y a donc bel et bien un lobbying possible pour réguluer la monnaie. Ici, la DAO en difficulté va probablement réussir à obtenir des developpeur de Ethereum un bannissement d'un compte afin de récupérer de l'argent perdu suite à un smart contract contenant une faille.
Ce sont les déveoppeurs de Ethereum ou bien celui du DAO ?

Citation Envoyé par Dymmm Voir le message
Plus personnellement, d'un point de vue technique je peux comprendre l'intervention, car le détournement à probabelment été fait sachant que les personnes ayant écrit le smart contract ne souhaitait pas ouvrir une telle "fonctionnalité". D'un point de vue éthique, je désaprouve l'intervention car elle prouve que une organisation possédant une grosse somme peu obtenir l'altération du fonctionnement de cette monnaie. Bien entendu, si j'avais eu des billes dans TheDAO mon avis serait bien différent
"éthiquement", je reste indécis. D'un côté on a clairement un "voleur". D'un point de vue juridique, il a déjà été prouvé à de nombreuses reprises que l'exploitation d'une faille est un délit. Et même parfois, simplement sa révélation.
De l'autre côté, c'est le lot de tout investisseur. On donne sa confiance à un tiers (ici le DAO), et parfois on perd, des fois on gagne.

Citation Envoyé par verbose Voir le message
Je ne connais Ethereum que de loin, mais la première pensée qui me vient est que ce qui a été fait une fois pourra l'être à nouveau. Le piratage qu'a subit DAO me semble lié à la nature même des Smarts Contract. Ethereum ne peut pas protéger ses utilisateurs de la corruption d'un contrat. Il sera toujours possible à un pirate d'exploiter une faille dans un Smart Contract si cette faille existe. C'est le mode décentralisé qui est au coeur de la faille de sécurité. La conception des contrats étant libre, elle est susceptible, malgré toute la bonne foi et l'honnêté de son développeur, d'héberger une faille.
Pas plus que quand tu files 50€ à un ami, tu as une chance qui te les rende un jour. La différence ici c'est que tu es libre de consulter le contrat et que c'est un programme. Ensuite libre à toi de signer les yeux fermés ou pas.
Attention, je ne dis pas que la pleine compréhension d'un contrat est chose aisée, mais c'est comme dans la vraie vie. Sauf qu'ici point d'interprétation hasardeuse par un système judiciaire.

La réaction non-désintéressé d'Ethereum prouve tout de même qu'il y a une forme de protectionnisme. Mais cette intervention ne peut se faire sans l'accord des parties.

Le vrai problème à mon sens, ce sont les gens qui croient qu'un système bancaire est moins sûr qu'un système comme Ethereum. Les systèmes bancaires investissent des millions (des milliards ?) dans des systèmes de sécurité autant informatique que physique. Pour protéger les XXXX millards qu'ils brassent. Normalement, le système est protégé comme la BlockChain par le principe que l'investissement nécessaire à l'attaque soit plus important que le gain potentienl.
Ici en ayant injecté autant d'argent dans un seul DAO, il est clair qu'il devenait la cible d'attaque.
A noter tout de même deux points :
  • tout ce principe fonctionne uniquement sur l'argent, car si la motivation de l'attaque est éthique alors le système finira tout ou tard par tomber.
  • si la perte d'argent peut bénificier à un tiers extérieur, alors la récupération des fonds détenus n'est pas une nécessité pour l'attaque. Seul la faillite d'un (ou plusieurs) tiers impliqués dans le fond constitue une motivation. Ce qui multiplie pas mal les vecteurs d'attaque et donc la fragilité du système.
0  0