Se connecter S'abonner

Smart Contract défectueux, 1 Milliard$ en token ERC-20 en Danger ?

Les smarts contracts assurant la bonne circulation de certains tokens ERC-20 présenteraient d’importantes failles les rendant fortement vulnérables à une attaque aux faux dépôts. C’est ce que révèle une étude menée conjointement par l’Université des postes et télécommunications de Pékin, l’Université du Zhejiang (Hangzhou, Chine) et celle du Queensland en Australie. Les failles en question résultent de la mise en œuvre incorrecte des contrats concernés et de la déficience des techniques de vérification sur les exchanges. Elles ont été mises en évidence grâce à DEPOSafe, un outil automatisé conçu par l’équipe de recherche, qui a analysé 172 000 contrats ERC-20. Explications.

Smart Contract 1 Milliard$ token ERC-20 Danger

Qu’est-ce qui rend réellement ces contrats vulnérables ?

Sont concernés par cette potentielle attaque tous les smarts contracts n’ayant pas encore exécuté le protocole de mise en œuvre d’Ethereum EIP20. Ces derniers utilisent en effet des déclarations de programmation conditionnelle (CPS) pour la vérification des soldes de jetons insuffisants en lieu et place des déclarations d’assertion. En cas de solde insuffisant, la transaction est interrompue par le transfert CPS par activation de la fonction return False. Il existe alors un écart qui se crée entre ce qui est prévu par le développeur et la transaction réelle. Cela constitue donc une brèche par laquelle pourrait s’introduire un hacker pour lancer une attaque.

Cette vulnérabilité est d’autant plus importante que certaines exchanges acceptent l’exécution de tels contrats sur leur compte. En effet, une vérification inadéquate de la sécurité des dépôts effectués auprès de ces exchanges constitue une aubaine pour les hackers. Ceux-ci peuvent notamment exploiter les smarts contracts défaillants pour dérober autant de jetons qu’ils le souhaitent de ces comptes. Sans la mise à jour du protocole standard, toutes ces exchanges s’exposent au risque de fuites de jetons. Ainsi sur les 172 000 contrats ERC-20 parcourus, 7 700 d’entre eux ont été identifiés comme susceptibles d’être confrontés à cette attaque. Cela représenterait pour les hackers un butin de plus d’un milliard de dollars.

Quels sont les projets les plus touchés par cette vulnérabilité ?

On retrouve CloudBric, MovieCredits, BullandBear, LOVE et EtherDOGE au titre des projets vulnérables à token ERC-20ayant le plus grand volume d’échanges sur les exchanges décentralisées ou DEX. Cela concerne surtout les plateformes comme IDEX, DDEX, et EthDelta qui a procédé à une rectification sur son système de vérification de sécurité en juillet.

Du côté des exchanges centralisées (CEX), l’étude a notamment ciblé des jetons tels que le BRC de la chaîne Baer, le BAT du navigateur web Brave, ou encore le jeton HPT de Huobi Chinese cryptocurrency exchange. À ceux-ci s’ajoutent, RPL du service applicatif Rocket Pool Ethereum et PWR de la blockchain du réseau électrique Power Ledger comme jetons les plus vulnérables des CEX ayant la plus forte capitalisation boursière.

Les smarts contracts de l’ERC-20 étant irréversibles, il revient aux exchanges de trouver une solution rapide pour mettre fin au problème. Elles pourraient par exemple renforcer leurs procédures de vérification de sécurité pour les jetons identifiés comme vulnérables et mettre sur liste noire les contrats déjà corrompus.

Plus d’actions
Partagez

Derrière la signature générique « Rédaction TCT » se trouvent de jeunes journalistes et des auteurs aux profils particuliers qui souhaitent garder l’anonymat car impliqués dans l’écosystème avec certaines obligations.

DISCLAIMER
Les propos et opinions exprimés dans cet article n'engagent que leur auteur, et ne doivent pas être considérés comme des conseils en investissement. Effectuez vos propres recherches avant toute décision d'investissement.
Back To Top

Newsletter

Recevez le meilleur de l’actualité Crypto dans votre boite email

Inscription Newsletter

Archives

Lire les dernières Newsletters
Cliquez ici

Coaching Gratuit

Obtenez gratuitement un coaching
d'une heure avec un expert
Remplissez le formulaire
et notre expert vous contactera 
sous 24 heures

© Copyright Cointribune - tous droits réservés

Agence Tempo