The Merge: un premier piratage a eu lieu sur Ethereum Pow

Alors que tout se déroulait comme prévu les premiers jours, la transition The Merge d'Ethereum ne se fait finalement pas sans encombres. Après la chute de l'ether sous les 1400 dollars, vient le moment des hacks. Des pirates ont en effet trouvé une faille en exploitant l’ambiguité du processus de transition, qui consiste à faire passer l’ether sur une nouvelle logique de marché, rapporte un article du Journal du Coin.

Un problème sur un bridge entre 2 blockchains

En effet, refusant de passer à la "preuve d'enjeu" (PoS), certains mineurs ont décidé de lancer un hard fork baptisé Ethereum Pow (et son jeton ETHW) pour conserver l'ancien protocole de la blockchain en "preuve de travail" (PoW). Or, grâce aux passerelles que cela crée, des pirates ont réussi à dupliquer leurs transactions sur les deux environnements en même temps: le nouveau et l’ancien. La société, spécialisée BlockSec spécialisée dans la sécurité des blockchains, a alerté sur l'attaque dès dimanche en repérant une erreur dans le smart contract du bridge "Omni Bridge" qui fait le pont entre les deux blockchains.

"L'exploiteur (0x82fae) a d'abord transféré 200 WETH (des ETH dits "wrappés", qui sont des jetons que l'on peut échanger contre des ethers, NDLR) via le Omni Bridge Omni de la chaîne Gnosis, puis a rejoué le même message sur la chaîne PoW et a obtenu 200 ETHW supplémentaires", a déclaré BlockSec sur Twitter. L'attaque s'est produite parce que le bridge (pont) n'a pas correctement vérifié le ChainId l'ID de la chaîne du message inter-chaînes".

Pour rappel, une blockchain qui utilise un code similaire à celui d’Ethereum dispose de son propre identifiant ID, appelé ChainId. Concrètement, le coeur du problème, c'est que le protocole n'a pas correctement vérifié le ChainId lors de certaines requêtes. L'attaquant a ainsi exploité la vulnérabilité du bridge, mais pas de la blockchain EthereumPow elle-même, ont expliqué ses développeurs. "ETHW elle-même a appliqué la norme EIP-155, et il n'y a pas d'attaque par rejeu depuis ETHPoS et vers ETHPoS, ce que les ingénieurs en sécurité d'ETHW Core ont prévu à l'avance", ont écrit les développeurs d'ETHW Core dans un post Medium.

"Le butin de l’opération n’est pas conséquent en soi, l’analyse des transactions de l’attaquant montre qu’il a renvoyé 741 ETHW sur la plateforme d’échanges MEXC. Cela porte le montant, au moment des faits, à une valeur de 8 à 10.000 dollars tout au plus", souligne de son coté le média spécialisé Cryptoast.

Chute de l'ether

Beaucoup d’observateurs notent que le nouveau protocole de "preuve d'enjeu" sur lequel est basé Ethereum est moins sûr et crée de plus nombreuses failles que l’ancien système de "preuve de travail" et que cela va être compliqué ces prochaines semaines parce que ce hard fork créé entre l’ancienne et la nouvelle blockchain n’est pas le seul. En effet, d’autres existent déjà comme Ethereum Classic et Ethereum Fair et encore d’autres le seront.

"Comme souligné par BlockSec, cette faille est probablement présente sur d’autres protocoles DeFi, qui n’effectuent pas correctement la vérification du ChainId", souligne l'article.

Ce premier piratage multiplie donc les potentiels problèmes à venir et pèse aussi sur la valeur faciale de l'ether: en l'espace d'une semaine, le cours de la cryptomonnaie a chuté de 20 %. Lundi, la cryptomonnaie est passée sous le seuil des 1400 dollars, seuil sous lequel elle reste toujours malgré un rebond de 4% depuis lundi.