Le logiciel Ethereum Parity sera mis à jour après la détection d'un bug critique

Un bug de consensus critique a été découvert dans un environnement de test utilisé par ONEun des deux principaux logiciels essentiels au fonctionnement de la deuxième plus grande blockchain au monde.

Révélé hier soir par Parity Technologies, basée au Royaume-Uni, dans unarticle de blog, il a été constaté que le problème provoquait une désynchronisation des utilisateurs exécutant le logiciel, ce qui signifie que d'autres utilisateurs de logiciels différents ne reconnaîtraient pas leurs transactions. Bien que la vulnérabilité ait été découverte sur un réseau de test, l'inquiétude est qu'elle puisse également être exploitée sur le réseau principal.

Parity exhorte donc désormais tous les utilisateurs à mettre à jour leur logiciel vers une version récemment corrigée.

Données accessibles au public

Il semblerait que le bug ait pu affecter environ 30 % du réseau Ethereum , c'est-à-dire ceux qui utilisent le logiciel fourni par Parity pour rester synchronisés avec le réseau. Mais selon les représentants de Parity, le problème a été corrigé avant d'atteindre les nœuds exploitant la blockchain Ethereum en direct.

Néanmoins, les entreprises doivent mettre à jour le nouveau logiciel pour rester à l’abri de la vulnérabilité sur le réseau principal.

S'exprimant sur Twitter, plusieurs entreprises,y compris le pool minier Bitfly, ont déclaré avoir mis à jour leur logiciel vers la nouvelle itération sécurisée (1.10.6-stable ou 1.11.3-beta).

Alors que les entreprises qui opèrent sur Ethereum commencent à mettre à jour leurs logiciels pour éviter le problème, a été théorisé que cela pourrait encore avoir un impact sur toutes les blockchains qui exécutent le logiciel Parity, y compris les utilisateurs d' Ethereum Classic (ETC).

La nouvelle de cette vulnérabilité survient à un moment où Parity a étésous surveillance accrue pour plusieurs problèmes de sécurité similaires. Plus particulièrement, en novembre dernier, un bug dans ONEun des portefeuilles de l'entreprise a entraîné le gel de 513 774,16 ETH, soit 311 millions de dollars selon les indicateurs actuels, et les a rendus inaccessibles à leurs propriétaires.

La discussion sur la question de savoir si les fonds gelés doivent être restitués est en cours, mais en attendant,La parité a déclaréson engagement envers un processus de sécurité raffiné, en écrivant :

« Nous aimerions que nos bugs soient un catalyseur pour un développement Ethereum plus sécurisé. »

Trois lignes de code

S'adressant à CoinDesk, Wei Tang, un développeur de Parity qui a aidé au correctif de code d'hier, a déclaré que le bug est lié à un morceau de code de la proposition d'amélioration Ethereum (EIP) 86.

Initialement prévue pour la mise à niveau d'Ethereum l'année dernière, l'EIP 86 visait à introduire ce que l'on appelle « l'abstraction de compte », permettant l'envoi de transactions sans signature de l'expéditeur. La mise à niveau complète Ethereum vers l'EIP 86 a été reportée en raison de sa complexité. Cependant, Wei a expliqué que Parity a néanmoins implémenté le code, probablement en raison de son rôle dans la mise à niveau d'Ethereum. changement de consensus à venir.

Selon Wei, l'équipe chargée de l'implémenter dans le logiciel de Parity avait négligé trois lignes de code qui ont conduit au problème de consensus d'hier.

« Nous avons manqué une vérification conditionnelle dans notre code qui a amené le nœud complet Parity à accepter un bloc contenant des transactions non valides », a déclaré Wei à CoinDesk.

Plusieurs transactions de ce type ont été découvertes hier sur le réseau de test Ropsten, et en raison de l'incompatibilité des transactions avec la blockchain Ethereum au sens large, les transactions ont conduit à une bifurcation entre les clients de Parity et de Geth (le plus grand fournisseur de logiciels Ethereum représentant 60 % des utilisateurs).

S'exprimant dans un communiqué de presse, Kirill Pimenov, responsable de la sécurité chez Parity, a déclaré que dans le « pire des cas », de telles transactions auraient entraîné des blocs corrompus sur le réseau principal Ethereum qui « seraient toujours traités comme valides par d'autres nœuds Ethereum de Parity affectés ».

Avec une puissance de hachage suffisante, un tel exploit entraînerait une division de la blockchain, a poursuivi Pimenov.

« La réponse à cette situation a été proactive, ce qui nous a permis de préparer un correctif avant que quiconque ne puisse exploiter le bug. Nous avons ainsi réussi à éviter une division du réseau principal », a déclaré Pimenov dans le communiqué de presse.

Wei a fait écho à ces propos, affirmant que le correctif, publié il y a quelques heures à peine, était simple.

« Nous ajoutons ces trois lignes de vérification conditionnelle manquantes dans notre code », a déclaré Wei à CoinDesk, ajoutant :

« Mais oui, ces trois lignes ont un impact considérable. Nous avons également demandé à de nombreux experts de vérifier le code pendant le processus. »

Bouton d'urgence rougeimage via Shutterstock