The DAO : cyber-casse à 40 millions de dollars sur la blockchain
Une vulnérabilité dans le code du DAO a permis le vol de 40 millions de dollars en ethers. Comment la communauté s’organise-t-elle ?
Une course contre la montre a débuté pour The DAO.
Le projet communautaire, qui se présente comme la première organisation décentralisée hébergée sur la blockchain, est passé en mode gestion de crise après s’être fait voler 3,641 millions d’ethers, soit près de 40 millions de dollars au taux de change actuel.
Le cours de la crypto-monnaie a chuté avec l’annonce de ce piratage : samedi, on parlait encore d’un butin de 50 millions de dollars.
Comment expliquer une telle attaque ? Au commencement était une faille dans le code. Plus précisément au niveau de la fonction splitDAO(), destinée à subdiviser un DAO (« Decentralized Autonomous Organization ») en cas de désaccord entre ses participants.
Cette vulnérabilité a été exploitée pour mettre en place un appel récursif permettant de réaliser des transactions de manière répétée… en une seule session, sans jamais que le nouveau solde soit enregistré. Assez pour transférer une grande quantité de fonds ; dans le cas présent vers un clone du DAO*.
Cofondateur de la Fondation Bitcoin, Peter Vessenes était revenu, il y a une dizaine de jours, sur cette faille qu’il avait baptisée « Race to Empty ». Son analyse avait alerté la communauté, qui se raccroche aujourd’hui à l’une des garanties inhérentes au DAO : les fonds ne deviennent utilisables que 27 jours après la création de l’entité.
Dans l’absolu, cela laisse jusqu’au 14 juillet pour trouver une parade, sachant par ailleurs que la blockchain Ethereum, sur laquelle se base The DAO, n’est pas touchée.
De haut vol ?
Directeur des opérations de Slock.it (entreprise à l’origine du DAO et d’une serrure connectée fonctionnant via la blockchain), Stephan Tual se veut rassurant : les ethers volés ne pourront pas être dépensés sans être détectés, chacun étant unique et traçable sur la blockchain.
Il est de ceux qui suggèrent un fork, en l’objet d’une nouvelle version du logiciel qui, s’il est installé par suffisamment de personnes, « effacerait » le hack en rendant invalides les ethers dérobés et en en émettant autant de nouveaux pour rembourser chacun des investisseurs du DAO.
Cette proposition est loin de faire consensus. Pour beaucoup, elle remet en cause le principe même de la blockchain, fondé sur la décentralisation. Certains notent par ailleurs que la communauté Bitcoin n’a pas choisi cette option après la chute de la plate-forme d’échange MtGox.
D’autres vont jusqu’à se demander si, au regard du statut pour l’heure « alégal » du DAO, il s’agit à proprement parler d’un vol ou si l’auteur de l’attaque a simplement « exploité le code à son avantage »…
Entre les tirs croisés (dont celui de Slock.it, qui propose un schéma de contre-attaque), on recense quelques appels au calme pour les investisseurs, les mineurs et les plates-formes d’échange. Ainsi que des recommandations, comme celle de ne plus créer de « smart contracts » hébergeant plus de 10 millions de dollars – The DAO, qui en est un, a levé l’équivalent de plus de 150 millions de dollars, pour près de 15 % des ethers en circulation.
Les enjeux sont comparables à ceux qui se posent dans la communauté Bitcoin concernant l’évolution du protocole pour assurer une capacité de montée en charge.
* Pour davantage d’informations, voir notre article « The DAO : quand la blockchain bouleverse la gouvernance ».
Crédit photo : FabrikaSimf – Shutterstock.com