Environ 34200 contrats intelligents Ethereum actuels d'une valeur de 4, 4 millions de dollars en éther sont vulnérables au piratage en raison d'un mauvais codage contenant des bogues.
Telle est la conclusion alarmante que cinq chercheurs du Royaume-Uni et de Singapour ont posée dans leur rapport intitulé «Finding The Greedy, Prodigal, and Suicidal Contracts at Scale».
Dans leur article, les auteurs ont identifié trois grandes catégories de contrats intelligents qui sont des cibles faciles à pirater:
- Gourmand: Ces contrats bloquent les fonds indéfiniment.Prodigal: Ces fuites de fonds aux utilisateurs arbitraires.Suicide: Ces contrats peuvent être tués par n'importe quel utilisateur.
Les contrats intelligents et leurs codes existent dans un réseau de blockchain décentralisé. La blockchain est la technologie qui sous-tend le bitcoin.
Bien que les contrats intelligents aient été salués pour leur facilité d'utilisation et leurs coûts relativement inférieurs, ils sont vulnérables aux cyber-pirates. En 2017, 500 millions de dollars ont été perdus ou volés en raison de contrats mal codés, et la moitié des personnes impliquées dans l'éthereum, a rapporté Bitcoin.com. Voir aussi: (Le deuxième piratage majeur d'Ethereum en une semaine entraîne un vol de 34 millions de dollars.)
"Nous avons affaire à des applications qui ont deux caractéristiques très désagréables: elles gèrent votre argent et elles ne peuvent pas être modifiées", a déclaré à Motherboard la co-auteur du rapport, Ilya Sergey, professeur adjoint d'informatique à l'University College London.
Les auteurs de "Finding The Greedy, Prodigal, and Suicidal Contracts at Scale" ont analysé 970 898 contrats intelligents et ont découvert que 34 200 d'entre eux sont des cibles faciles à pirater. Cela signifie qu'environ 1 contrat intelligent sur 20 est en danger.
"La quantité maximale d'Ether qui aurait pu être retirée… est de près de 4 905 Ether", ont écrit les auteurs. En utilisant le prix actuel d'environ 894 $ par jeton ETH, cela représente près de 4, 4 millions de dollars.
Le rapport ajoute: "En outre, 6 239 Ether (environ 5, 6 millions de dollars) sont enfermés dans des contrats posthumes actuellement sur la blockchain, dont 313 Ether ont été envoyés à des contrats morts après leur mort."
Parce que les chercheurs n'ont pas révélé quels contrats intelligents sont vulnérables, ils sont probablement à l'abri des pirates informatiques - pour l'instant. Mais le co-auteur du rapport dit qu'étant donné le jackpot de plusieurs millions de dollars qu'ils pourraient découvrir, cela ne le surprendrait pas si les cyberattaquants bondissaient. Pour identifier les contrats à risque, il suffit de quelques travaux. "Si quelqu'un veut exploiter cette idée, il devra faire au moins autant de travail que nous", a expliqué Ilya Sergey.
