Le vendredi 17 juin 2016, The DAO a subi une attaque informatique sophistiquée visant à subtiliser les ethers qui y avaient été envoyés par les nombreuses personnes qui avaient participé à sa création. Plus de 3,6 millions d’ethers ont ainsi été subtilisés en quelques heures, sur les 12 millions récoltés par l’organisation autonome décentralisée. S’ensuivit une réaction exceptionnelle des créateurs d’Ethereum, de The DAO, de slock.it, afin de trouver une parade à ce piratage. Compte tenu du code déployé et de la faille utilisée, un délai de 27 jours leur était accordé avant que les fonds ne puissent être définitivement récupérés par le pirate.
A situation exceptionnelle, mesures exceptionnelles. Après quelques heures, Vitalik Buterin, créateur d’Ethereum, poste sur le blog de la Fondation pour évoquer les solutions envisagées par la communauté : un soft fork (modification du comportement des mineurs dans le futur pour empêcher le voleur de récupérer les fonds) puis un hard fork (modification de la blockchain existante pour récupérer les ethers volés).
Les implications de ces deux options étant très lourdes notamment en terme de conséquences à long terme sur la perception de la blockchain Ethereum, un gros débat s’est engagé depuis vendredi dans la communauté pour déterminer si oui ou non les forks devaient être mis en oeuvre, ou si l’on devait simplement abandonner ces ethers volés et même l’ensemble des ethers aujourd’hui localisés dans The DAO, qui restaient vulnérables à une autre attaque (soit plus de 11 millions d’ethers sur les 81 millions existants).
Cette nuit, une troisième option a été appliquée spontanément par un groupe de « gentils » hackeurs (on parle de white hat hackers) : la réplication du hack qui avait été mis en oeuvre par le voleur pour récupérer les ethers qui restaient dans The DAO (à peu près 7,2 millions d’ethers) et les mettre en sureté pour éviter un autre hack. Les personnes qui ont lancé cette attaque coordonnée, dont un certain nombre sont identifiées (Alex Van de Sande et Fabian Vogelsteller notamment), ont agi en tant qu’individus et non au nom de la Fondation, qui n’a pas approuvé l’initiative. Ces « chevaliers blancs » venus sauver les ethers en danger se font d’ailleurs appeler Robin Hood… En pratique, on assiste à une vraie guerre des DAO !
Si la moralité et les motivations de cette attaque, qui consiste tout de même à se faire justice soi-même en utilisant les mêmes méthodes que les hackers, peut être questionnée, son résultat est aujourd’hui que :
- Le hacker possède 3,6 millions d’ethers dans une sous-DAO, bloqués pendant encore 23 jours.
- Les white hat hackers possèdent 7,2 millions d’ethers dans une sous-DAO théoriquement contrôlée par des « gentils », qui sont également bloqués, pendant une durée d’au moins 27 jours.
- Le reste des éthers est disséminé dans des sous-DAO diverses et dans la DAO d’origine.
Une nouvelle proposition est également présentée par ces « gentils » hackers : effectuer un soft fork dont l’objectif est d’empêcher tout le monde sauf des gentils hackers identifiés d’interagir avec le code des DAO. Cela leur permettrai de répliquer l’attaque du hacker contre lui-même (et donc de récupérer les 3,6 millions d’éthers logés dans sa DAO) sans que celui-ci ne puisse réagir, puis de les rendre aux détenteurs de tokens.
Les choix qui s’offrent à la communauté aujourd’hui sont donc les suivants :
- Ne rien faire. Dans ce cas, les gentils hackers ont promis de rendre les ethers qu’ils ont récupéré, soit 7,2 millions d’ethers. Cela correspond à environ 0.68 ether pour 100 tokens DAO, et limiterait la perte des investisseurs DAO à 30 % de leur investissement initial.
- Effectuer un soft-fork pour empêcher toute interaction avec le code de The DAO ou les sous-DAO, sauf pour certains comptes identifiés considérés comme « gentils ». Ceux-ci pourraient alors, avec une série d’opérations successives qui prendront quelques mois, récupérer 3,6 + 7,2 millions d’ethers pour les redistribuer à la communauté. La perte des investisseurs dans The DAO serait alors quasiment effacée (hors ether localisé dans les sous-DAO et The DAO) et les ethers rendus à leurs propriétaires d’origine.
- Mettre en oeuvre la solution initiale d’un soft fork pour geler ensemble des fonds localisés dans les DAO, y compris les sous-DAO, pour tout le monde.
Cette dernière solution serait éventuellement suivie d’un hard fork sur le code de la DAO pour récupérer l’ensemble des fonds, y compris ceux qui sont disséminés dans différentes sous-DAO et ceux encore logés dans The DAO. Dans ce contexte, l’ensemble des investisseurs seraient garantis de récupérer tout leur investissement de départ en ether.
Les débats ne sont donc pas terminés, et nul doute que de nombreuses discussions auront lieu dans la communauté pendant les jours qui viennent. La position de Vitalik Buterin sur l’attaque des gentils hackers est à ce titre très attendue. La décision finale d’implémentation des soft/hard forks sera de toute façon prise in fine par les mineurs, qui choisiront les blocs et les transactions qui seront validées ou non… En tout état de cause l’attaque white hat semble déjà avoir rendu une partie de leur confiance aux investisseurs : le cours de l’ether a explosé cette nuit.
Merci pour cet article. Je tiens just à préciser que les hackeurs blancs sont intervenus hier soir car il a été remarqué vers 18:00 PM UTC que des toekn étaient à nouveau transférées depuis le compte TheDAO. Voir ces twits: https://twitter.com/avsa/status/745313647514226688 et https://twitter.com/avsa/status/745318197876953088.
Leur intervention n’était pas prévue et a été déclenchée par la necessité de la situation.
Bonsoir,
Peut on acheter en ce moment de l’Ethereum ? L’achat peut t’il finir par être annulé ?
Quel conséquence ce hack peut il avoir sur un nouvel achat ?
Bonjour,
Le Hack n’aura aucune conséquence sur un nouvel achat.
Si le hard fork passe, il ne concernera QUE le contrat DAO et aucun autre ether. Vous pouvez donc si vous le souhaitez acheter des ethers aujourd’hui. L’achat ne sera pas annulé !
[…] 2https://www.ethereum-france.com/point-detape-the-dao-soft-fork-hard-fork-ou-sauvetage/ […]
[…] limite. Elle est soumise à des problèmes de sécurité et de confiance. Suite au piratage survenu dernièrement à l’Ethereum et aux déboires du Bitcoin, certains investisseurs adoptent dorénavant une […]