Pour avoir mis au jour une vulnérabilité sur la blockchain Sui, l’entreprise CertiK vient de recevoir 500 000 dollars. Un évènement qui met de la lumière sur les programmes de récompense des bugs, devenus monnaie courante dans l’univers crypto.
Une faille majeure repérée
L’entreprise CertiK, spécialisée dans la sécurité blockchain, vient de recevoir une récompense de 500 000 dollars après avoir pointé du doigt une vulnérabilité majeure sur le réseau Sui. Car cette vulnérabilité, baptisée “HamsterWheel” pouvait piéger les nœuds du réseau dans un boucle sans fin, comparable à un hamster faisant frénétiquement de la roue. À ce sujet, CertiK a également noté que la faille était différente des attaques traditionnelles dont peuvent être parfois victimes les blockchains.
Car contrairement aux attaques traditionnelles, la vulnérabilité “HamsterWheel” n’avait pas pour objectif de faire tomber les nœuds du réseau, mais plutôt de les bloquer. Dans le cas présent, l’objectif était de piéger les noeuds et de leur faire effectuer des opérations répétées de manière à rendre impossible le traitement de nouvelles transactions. De manière très concrète, cette faille pouvait être susceptible de perturber l’ensemble de la première couche de la blockchain.
Cette vulnérabilité, CertiK l’a présenté à Sui, avant le lancement de son réseau principal. La blockchain a ainsi pu apporter les correctifs nécessaires afin de prévenir d’une attaque qui aurait pu mettre à genoux le réseau. Dans les prochains jours, CertiK et la blockchain Sui pourraient communiquer en publiant des rapports complets dès que l’ensemble des mesures d’atténuation auront été déployées. Sur les réseaux sociaux, la nouvelle a rapidement été commentée :
CertiK discovered a bug in Sui, which could bring the blockchain to a halt. $500 paid in reward 😱😱😱
— jjae $XTER (@jjaepicknva) June 20, 2023
Les programmes de prime aux bugs mis en avant !
Pour la découverte du bug, CertiK s’est donc vu accorder une prime de 500 000 dollars. L’entreprise en a également profité pour souligner l‘importance des programmes de primes aux bugs et la veille de sécurité qu’ils permettent de faire. Certains développeurs se sont aujourd’hui spécialisés dans la recherche de bugs.
Car ce n’est évidemment pas la première fois que des incitations à la recherche de bugs sont proposées. Récemment, la fondation Ethereum a mis sur pied un programme de récompense pour le lancement de Shapella. Un programme dont l’objectif était de récompenser les personnes qui détectaient et signalaient des bugs avec un gain potentiel de 500 000 dollars.
Selon Kang Li, responsable sécurité chez CertiK, cet évènement souligne aussi l’évolution des menaces pesant sur les blockchains :
La découverte de l’attaque HamsterWheel démontre l’évolution de la sophistication des menaces pesant sur les réseaux de blockchain.
Source : Cointelegraph
Sur le même sujet :
- TRON : une faille exposant plus de 500 millions de dollars a été découverte
- Fireblocks : l’entreprise spécialisée dans la garde d’actifs numériques repère une faille sur BitGo !
- DeFi : un hacker profite d’une faille sur LaunchZone et retire 700 000 $
Partager
Charles Ledoux
