L’équipe d’Ethereum a reporté une mise à jour majeure de la blockchain Ethereum après qu’une société de sécurité ait découvert une vulnérabilité qui aurait pu permettre à des pirates de voler les fonds des utilisateurs.

La mise à jour du réseau Ethereum, baptisée ” Constantinople Upgrade “, devait donc être lancée le 16 janvier. Une nouvelle date de lancement pour le déploiement de Constatinople sera décidée le vendredi 18 janvier.

Menace sur les “smart contracts” Ethereum 

La vulnérabilité est ce que les experts en sécurité de la blockchain appellent une “attaque de réentrée“. Elle a été découverte par ChainSecurity, dont les chercheurs ont détaillé le bug dans un billet de blog sur Medium.

Selon l’entreprise, l’attaque aurait permis à un cybercriminel de voler des fonds aux utilisateurs avec lesquels l’attaquant s’est engagé dans un smart contract Ethereum.

Un contrat intelligent est un script qui s’exécute sur la blockchain Ethereum et permet aux utilisateurs d’entrer des fonds Ether, de mettre en commun des fonds avec d’autres utilisateurs et de recevoir des devises en retour selon une série de conditions prédéterminées.

Les experts de ChainSecurity ont découvert que la façon dont Ethereum Constantinople Upgrade traitait ces contrats permettait aux acteurs malveillants d’extraire les fonds des utilisateurs sans respecter les exigences du contrat ou sans l’approbation ou la connaissance de l’utilisateur.

La vulnérabilité est appelée “attaque de réentrée” car elle permet à l’attaquant de réexécuter la même fonction encore et encore jusqu’à épuiser tous les fonds partagés de l’utilisateur.

La société déclare qu’une analyse rapide (et incomplète) de la version actuelle de la plate-forme Ethereum n’a pas permis d’identifier les contrats intelligents exposés à la vulnérabilité ainsi découverte.

Les développeurs d’Ethereum expliquent que “ChainSecurity et TrailOfBits ont lancé (et sont toujours en cours d’exécution) une analyse sur l’ensemble de la blockchain” pour détecter les contrats vulnérables susceptibles d’être exploités même sur la plateforme Ethereum actuelle. Aucune preuve que la faille ait été exploitée n’a été détectée pour le moment.

L’équipe de développement d’Ethereum et son groupe de sécurité (ethsecurity.org) travaillent sur un patch, mais aussi à l’identification de failles similaires.

Les possesseurs de cryptomonnaie Ether (ETH) n’ont rien à craindre pour l’instant.

Article “New Ethereum version postponed after discovery of serious security flaw” traduit et adapté par ZDNet.fr