Les clients Ethereum non mis à jour rendraient le réseau vulnérable aux attaques

Selon une étude menée par la firme de cybersecurité Security Research Labs citée par ZDNet, de nombreux logiciels clients Ethereum n’ont pas été mis à jour (malgré la sortie de correctifs) et rendent le réseau vulnérable aux attaques des 51%.

 

Le rapport basé sur les données du site internet Ethernodes.org a révélé qu’une grande partie de logiciels clients Ethereum actifs, tels que Parity ou Geth, utilisaient encore d’anciennes versions et rendaient ainsi possible les attaques sur le réseau.

“D’après les données que nous avons recueillies, seuls deux tiers des nœuds ont été corrigés.” a commenté l’un des analystes de SR Labs, Karsten Nohl.

Une vulnérabilité découverte en février dernier sur les logiciels clients Parity permettait à un attaquant de faire planter les nœuds à distance en envoyant des « paquets mal formés ». Bien que la faille ait été corrigée rapidement, 40% des nœuds n’étaient toujours pas à jour 1 mois après la diffusion du correctif.

En faisant crasher un certain nombre de nœuds, les pirates peuvent plus facilement submerger le réseau et procéder à une attaque des 51%, leur permettant de mener des attaques double spending pour valider des transactions illégitimes.

> Ethereum : Constantinople pourrait aider Parity à récupérer 500 000 ETH

La situation est relativement similaire, voire pire, pour les clients Go Ethereum (Geth). En effet, 44% d’entre eux n’ont toujours pas effectué la dernière mise à jour de sécurité (sortie en mars 2019).

Selon SR Labs, le problème vient en partie des systèmes de mises à jour développés par Parity et Geth.

“Parity a un processus de mise à jour automatisé, mais il est très complexe et certaines mises à jour passent à la trappe.” a déclaré Nohl.

En outre, Geth ne propose pas de système automatique de mises à jour et certains opérateurs omettent de les effectuer et continuent à faire tourner leur logiciel sur d’anciennes versions.

“Nos recherches suggèrent qu’une attaque des 51% était plus susceptible de se produire juste après la publication du correctif de sécurité pour la vulnérabilité DoS. Le danger augmentera à nouveau lorsque le prochain bug sera détecté, tant que les mises à jour resteront un processus manuel et lent.” a-t-il expliqué.

Toutefois, ce type de problème ne serait pas réservé à Ethereum.

“Les problèmes de correctifs sont très répandus parmi les logiciels clients blockchain, en particulier avec les blockchains qui utilisent des contrats intelligents. Ethereum en tant que technologie de contrats intelligents la plus importante est la plus préoccupante.” a conclu Nohl.

La dernière attaque des 51% s’est produite sur la blockchain Ethereum Classic en janvier 2019. Elle avait permis aux hackeurs de s’emparer de 219 500 ETC (~970 000€ au moment du piratage)

> Chainalysis : 376 personnes détiennent un tiers du total des ethers (ETH) en circulation

> Vitalik Buterin propose un système pour empêcher les attaques des 51%

> Le crypto-exchange Cryptopia en liquidation judiciaire

Crédit miniature : Pixabay – Ethereum


La newsletter de Cryptonaute :