Des étudiants exploitent une faille Ethereum : la sécurité de la blockchain entière remise en question

Cryptonews2024/05/23 11:25

Par:Matthieu Dumas

Nous ne parlons pas ici d’un rugpull, d’une faille avec un wallet, de sim swap ou de phishing, non : les deux frères ont réussi à craquer le fonctionnement même de la blockchain Ethereum. Cette affaire, révélée mercredi par le Département de la Justice américain (DOJ), soulève des questions qu’on n’a pas envie de se poser : et si, finalement, la blockchain Ethereum n’était pas si sécurisée que ça ?

Un coup de maître en 12 secondes

En décembre 2022, Anton, 24 ans, et James Peraire-Bueno, 28 ans, ont réussi à voler 25 millions de dollars en seulement 12 secondes en exploitant une vulnérabilité de la blockchain Ethereum .

Le procureur américain Damian Williams n’a pas mâché ses mots : « Ce plan était si sophistiqué qu’il remet en question l’intégrité même de la blockchain. ».

Les frères, diplômés de MIT, ont utilisé leurs compétences en informatique pour orchestrer une attaque jusqu’alors « jamais vu » sur une blockchain.

En seulement 12 secondes, ils ont réussi à détourner 25 millions de dollars, en exploitant des transactions privées en attente sur la blockchain.

Le document de la cour précise qu’il s’agit d’une faille « MEV et MEV-boost ».

Une faille jamais vu qui remet tout en question

Pour comprendre la faille, un petit rappel sur le fonctionnement d’Ethereum s’impose. Le MEV-boost est un logiciel utilisé par la majorité des validateurs de la blockchain Ethereum pour maximiser les profits en assemblant des transactions en attente dans le “mempool” en blocs officiels.

Lorsque des utilisateurs soumettent des transactions à Ethereum, celles-ci sont d’abord placées dans ce mempool avant d’être validées. Les créateurs de blocs utilisent MEV-boost pour organiser ces transactions, tandis que les bots MEV, appelés “chercheurs”, explorent le mempool à la recherche d’opportunités de trading lucratives, parfois en “achetant” l’ordre des transactions auprès des block builders. Les validateurs prennent ensuite ces blocs préconstruits et les ajoutent définitivement à la blockchain.

La faille des frères Peraire-Bueno

Les frères Peraire-Bueno ont donc exploité une faille dans le code de MEV-boost, leur permettant de prévisualiser les transactions avant leur validation officielle. Ils ont créé 16 validateurs Ethereum et ciblé trois traders spécifiques utilisant des bots MEV.

En utilisant des transactions « appâts », ils ont attiré ces bots vers leurs validateurs, les incitant à proposer des transactions. Les frères ont ensuite manipulé les blocs en envoyant de fausses signatures numériques, remplaçant les transactions « appâts » par des transactions truquées : les bots pensaient faire une affaire, alors qu’ils envoyaient en réalités des fonds contre rien en retour.

Cela prouve qu’Ethereum a bel et bien une faille de sécurité critique… Eh oui, car nous ne parlons pas ici d’un rugpull, d’une faille avec un wallet ou du phishing, non : les deux frères ont réussi à craquer le fonctionnement même de la blockchain Ethereum.

Une réaction rapide des autorités

Les frères Peraire-Bueno ont été arrêtés mardi et accusés de complot en vue de commettre une fraude électronique, de fraude électronique et de complot en vue de blanchir de l’argent. Chaque accusation pourrait leur valoir jusqu’à 20 ans de prison.

L’agent spécial Thomas Fattorusso et son équipe, qui ont suivi les traces financières des frères à travers la blockchain. Fattorusso a déclaré :

« Peu importe la complexité de l’affaire, nous continuons à mener les enquêtes sur les crimes financiers avec des technologies de pointe et un travail d’investigation classique, sûr et hors de la blockchain. »

Plan sophistiqué, mais recherche Google ?

C’est sûrement le point le plus fou de cette histoire : le document révèle que les frères ont « soigneusement » préparé leur coup… avec des recherches Google.

Leur historique de recherche montre qu’ils ont cherché comment dissimuler leurs gains, en utilisant des sociétés écrans et des échanges crypto sans procédures de connaissance du client (KYC).

Ils ont même recherché des informations sur le blanchiment d’argent et les avocats spécialisés en crypto ! Par exemple, ils ont cherché des termes comme « comment blanchir de la crypto » et « exchanges sans KYC ». Génies de la blockchain, mais pas d’internet ?

Blague à part, la découverte de cette faille est critique pour Ethereum. En découvrant un exploit qui affecte le fonctionnement même du réseau, les deux frères viennent de prouver que la sécurité et la véracité proposées par la technologie blockchain d’Ethereum n’est peut-être qu’un mythe…

Ils nous rappellent aussi que même les technologies les plus avancées peuvent être compromises . À la publication de cet article, ni la fondation Ethereum ni aucun développeur n’a commenté sur l’incident.

Source : Justice.gov (USA)

Vous pourriez également aimer

Flappy Bird obtient un reboot crypto sur Telegram avec Notcoin, bien que le créateur original et les fans dénoncent la nouvelle version

Résumé rapide Une nouvelle version du célèbre jeu mobile Flappy Bird est lancée sur Telegram, en partie grâce aux créateurs de Notcoin. Selon un rapport, le créateur original de Flappy Bird n'est pas impliqué dans le relancement du jeu.

The Block•2024/09/16 16:28

L'ancien PDG de Celsius, Mashinsky, demande le témoignage de six témoins alors qu'il risque une peine de prison de 115 ans

Résumé rapide Les avocats de l'ancien PDG Alex Mashinsky ont déclaré dans un mémorandum déposé vendredi qu'il n'avait pas l'intention de nuire à qui que ce soit. Les avocats de Mashinsky ont demandé au tribunal de district de New York de permettre à des témoins, allant du directeur financier du prêteur crypto au directeur des revenus, de témoigner lors de son procès pénal.

The Block•2024/09/16 16:28

Le protocole DeFi Delta Prime subit une exploitation de 6 millions de dollars après que l'administrateur a perdu le contrôle de la clé privée

Résumé rapide : Le protocole DeFi Delta Prime a subi une exploitation de 6 millions de dollars après qu'un administrateur a perdu le contrôle de la clé privée. L'équipe affirme que le risque est contenu et n'a affecté que son déploiement sur Arbitrum.

The Block•2024/09/16 15:25

La Fed devrait désormais réduire les taux de 50 points de base cette semaine, donnant un coup de pouce au bitcoin, selon un analyste de Bitwise

La Réserve fédérale des États-Unis devrait largement réduire son taux directeur cette semaine, les traders de taux d'intérêt prévoyant une réduction de 50 points de base lors de la réunion du Comité fédéral de l'open market (FOMC) de mercredi. Si la Fed décide de réduire les taux de 50 points de base, le marché des actifs à risque, y compris le bitcoin, pourrait réagir positivement, selon un analyste.

The Block•2024/09/16 14:57