TheDAO est (était?) la première organisation autonome décentralisée sur la blockchain Ethereum. Ce matin cette organisation a été victime d’une attaque de grande ampleur visant à détourner ses fonds. Sur les 11 millions d’ethers (soit environ 143 millions d’euros) qui avait récoltés lors d’une opération de crowdfunding historique, plus de 3,6 millions ont d’ores et déjà été siphonnés sur cette adresse. Retour sur la journée où le premier fonds d’investissement décentralisé est mort sans avoir pu financer de projet. Illustration  :  Le Radeau de La Méduse – Théodore Géricault 1819.

Avant de commencer rappelons ce qu’est The DAO. C’est avant tout un code informatique qui réplique les différentes fonctionnalités d’un fonds d’investissement avec une approche décentralisée. Toute personne est libre de soumettre une proposition de financement à The DAO qui donne lieu à un vote, les membres se prononcent alors au prorata des Ethers qu’ils ont déposés dans The DAO. Parmi les fonctions du « logiciel » ou smartcontract de The DAO, il est possible aux membres de s’extraire de la DAO par un « split ». Concrètement cette fonction déplace les fonds des membres qui en font usage vers une autre adresse sur la blockchain, elle permet ainsi à ces membres de sortir de la DAO avec les fonds qu’ils ont investis. Cette fonction bloque par construction les fonds dans la nouvelle adresse pendant 27 jours pour différentes raisons, cette précision est importante pour la suite.

Toute l’affaire qui s’est déroulée aujourd’hui a commencé hier par la diffusion d’un article sur ce blog faisant état d’un bug important dans certains contrats. Ce dernier article faisait écho à un autre de la semaine dernière par Peter Vessenes. De quoi s’agit il ? Ces articles décrivent la possibilité d’exploiter des failles dans les fonctions de retrait des fonds logés dans les contrats Ethereum. Grâce à un appel récursif à la fonction de retrait, un attaquant peut obtenir une multitude de fois la somme qu’il est en droit de retirer. Pour se figurer cette attaque, imaginez qu’appuyer de nombreuses fois sur le bouton « 100 euros » d’un bancomate entraîne la sortie d’autant de billets sans générer de problème de débit sur votre compte… L’opération peut durer tant qu’il reste des billets dans la machine.

Cette attaque est précisément ce qui s’est passé aujourd’hui:

  • aux alentour de 9h30

L’agitation sur le slack de la DAO et de slock.it se manifeste par l’un des utilisateurs les plus actifs, Griff Green. Il signale qu’une attaque semble être en cours. Plusieurs splits se comportent de manière suspecte et Griff Green cherche à contacter le ou les auteurs de l’opération. Très rapidement il se confirme qu’il s’agit bien d’une attaque.

image

  • aux alentour de 10h30

Slock.it et d’autres développeurs du code de la DAO organisent une contre-attaque consistant à spammer certaines fonctions de la DAO et à ralentir par divers moyens le déroulement des appels malveillants à la fonction de split. Les différentes places de marché coupent la cotation des token DAO et parfois même de l’Ether. Les sites qui permettent d’explorer la blockchain sont nombreux à être inaccessibles ou à ne plus mettre à jour les blocs. Pendant ce temps certains mineurs ont coupé leur machines, la puissance de calcul du réseau recule de plusieurs THash. Il devient très difficile de faire une opération sur Ethereum.

  • aux alentour de 11h30

La mobilisation de la communauté se poursuit pour ralentir l’opération et y apporter une solution. Plusieurs millions d’Ethers ont été transférés sur cette adresse, ils y sont néanmoins bloqués pour 27 jours avant de pouvoir être déplacés par l’attaquant.

  • à la mi-journée

La fondation Ethereum s’exprime sur le sujet et propose une solution. Le retour des fonds dérobés nécessitera un hard fork (HF), c’est à dire faire recommencer tous les nœuds du réseau à partir de l’état de la blockchain précédant l’attaque. La fondation propose dans l’immédiat un soft fork (SF) consistant à « bannir » de la blockchain l’adresse sur laquelle les fonds de la DAO ont été déportés. Le SF nécessitera que la majorité des noeuds du réseau accepte une mise à jour, après quoi les fonds localisés dans l’adresse incriminée ne pourront être déplacés. Seul le HF permettra de rembourser les investisseurs lésés.

Ces deux forks seront soumis aux noeuds qui décideront donc à la majorité et successivement si oui ou non ils acceptent la SF puis si oui ou non ils acceptent le HF. Le code de la DAO serait changé vers un contrat simple remboursant chacun des investisseurs et mettant fin à la DAO.

Les principaux développeurs d’Ethereum ainsi que Vitalik Buterin se sont exprimés à ce sujet.

Y aura-t-il Soft Fork puis Hard Fork, l’un mais pas l’autre, aucun des deux ? Le débat sur l’opportunité des options et des signaux envoyés fait déjà rage dans la communauté, soyez assuré que des articles de fond sont à venir.

En tout cas cette affaire ne remet pas en cause l’intégrité de la blockchain Ethereum. Quand à la DAO, le concept et son code seront sans doute amenés à être poursuivis et améliorés afin de garantir qu’un événement de ce type ne survienne plus.

 

 

Commentaires

Commentaires

  1. Bellaj
    17 juin 2016 - 19h56

    Les forks ouvre une porte indésirable les investissuers en etherum peuvent perdre confiance si demain un governement veut blocker un compte il forcera la fondation a demander un fork etc les scenaris sont la

    Répondre
      Lee
      19 juin 2016 - 18h46

      C’est fort possible, mais le problème est que The DAO est le plus gros projet concret actuellement, sa fin prématurée pourrait aussi être celle de Ethereum par la même occasion si rien n’était fait.

      Répondre
      JdeTychey
      20 juin 2016 - 11h08

      Plutôt que d’immuabilité de la blockchain il serait peut être plus rigoureux de parler « ténacité ». Les forks réclament le consensus des mineurs, c’est à dire des individus qui entretiennent le réseau. Une autorité peut bien forcer la fondation à proposer un fork mais la décision sera toujours prise par les mineurs. Ce site vous donne un aperçu de la répartition des noeuds (donc pas exactement les mineurs) et vous pouvez constater l’absence d’une concentration qui jouerait en faveur d’une action gouvernementale.

      https://www.ethernodes.org/network/1

      Répondre
  2. ETH13
    18 juin 2016 - 17h25

    Bonsoir,
    Pensez-vous que The DAO puisse etre avortée?
    Qu’adviendra t-il, dans ce cas, des fonds (DAO Tokens) possédés par ses utilisateurs?
    Enfin, est-ce que le cours pourrait atteindre « zéro », en vue de sa chute ininterrompue depuis hier?
    Merci d’avance.

    Répondre
      Lee
      19 juin 2016 - 18h54

      Clairement oui ce dernierr pourrait être avortée, transfert des Ethers siphonnés vers une DAO ayant pour fonction que le retrait afin de rembourser les stackholders de token DAO et fin de The DAO.
      La valeur est biensur liée à l’offre et la demande, elle peut bien atteindre 0€ si la fin de The DAO est signée comme elle peut atteindre des sommets si The DAO survit à cela.
      En espérant biensur dans le meilleur des cas, que tout est fait dans le possible afin de patcher les erreurs de codes, et relancer la machine DAO et surtout d’apprendre de cette erreur.

      voir aussi :
      https://blog.daohub.org/the-next-steps-786323e6fac9#.ir6he46mz

      Répondre
    zaza
    18 juin 2016 - 17h49

    Je trouve aussi.
    Le fait que Vitalik Buterin lui meme propose un fork fait peur et décredibilise l’ethereum
    ca explique sans doute la chute du cours alors meme que la securité de l’ethereum lui meme n’est pas touchée

    Répondre
    Lee
    19 juin 2016 - 19h01

    Comme tout est histoire de confiance, actuellement cette dernière s’est émoussée.
    Donc effet boule de neige, vente en masse et chute du cours (pas si catastrophique).
    Mais c’est surtout l’image de Ethereum qui en prend un coup.
    Pour ma part je ne suis pas contre ce fork, Vitalik tente de sauver le dernier né (The DAO).
    C’est le même cas de figure que pour la crypto n°1 qui est Bitcoin.
    Imaginez vous qu’on laisse le bitcoin continuer ainsi (saturation des block, ralentissement des validation des blocks, etc…) sans le fork de l’augmentation des blocks : c’est foncer droit dans le mur.

    Répondre
    Sloboudou
    20 juin 2016 - 15h27

    Je me demande si le cours de l’Ether va repartir.. Il s’est pris un sacré coup quand même.
    Quand est ce que la réponse pour les Fork est attendue ?

    Répondre
    Benkebab
    21 juin 2016 - 09h35

    Bonjour, je découvre Ethereum et venant de Bitcoin je souhaiterai comprendre comment concrètement le vote entre les 2 forks est-il soumis à la communauté? Est-ce un sondage externe via un site ou est-ec une fonction intégrée au réseau Ethereum?
    Merci de m’éclairer!

    Répondre
      JdeTychey
      21 juin 2016 - 11h05

      Les forks sont successives, SF d abord, si elle est acceptée HF ensuite. Le processus d adoption est une mise a jour acceptée (vote oui) ou rejetée (vote non) par les mineurs. Les pools de mineus proposent par ailleurs à ses membres de voter sur l adoption par la pool.

      Répondre
    Baloo
    21 juin 2016 - 10h50

    J’ai acheté des ETH lundi. On est bien d’accord que le SF ou HF ne va pas m’enlever cette somme ?

    Répondre
      JdeTychey
      21 juin 2016 - 10h58

      Absolument
      Aucun
      Risque.

      Répondre
    Slobodou
    21 juin 2016 - 16h44

    Pour ma part mon achat date de mercredi dernier , 80 eth que j’ai payé avant le hack.
    Un risque pour moi que le SF ou le HF m’enlève la somme ?

    Répondre
      Simon Polrot
      21 juin 2016 - 16h46

      Non. Le hard ou le soft fork ne vont pas toucher aux ethers des gens. Il ne s’agit pas de revenir en arrière dans la chaîne mais uniquement de modifier le contrat de The DAO et de rendre les ethers aux détenteurs de Tokens.

      Répondre
    Slobodou
    21 juin 2016 - 16h52

    Merci pour votre réponse .
    Pensez vous encore qu’investir dans les ETh est un bon investissement ? Le cours apparaît d’être stabilisé entre 10 et 11 euros depuis deux jours.
    Par ailleurs savez vous quand est prévu la fin de ces votes ?

    Répondre
      Simon Polrot
      21 juin 2016 - 17h13

      Compte tenu de l’imprévisibilité et de la volatilité du cours des cryptomonnaies, aucun conseil d’investissement sur ce site :). Dans tous les cas, si vous le faites, n’investissez que ce que vous pouvez vous permettre de perdre.

      Pour répondre à votre seconde question, le vote sur le soft fork devra forcément être finalisé avant la fin de la période de création de la Dark DAO (la DAO du hacker), soit dans environ 24 jours.

      Le délai pour réaliser le hard fork n’a pas encore été défini et des informations complémentaires sont attendues sur ce point.

      Répondre
    « Blockchain » : état des lieux et prospective | Le coin des crypto monnaies
    23 juin 2017 - 23h25

    […] leur potentiel mais aussi de faire (douloureusement) l’expérience de leurs faiblesses lors du hack de The DAO. La sécurisation des smart contracts n’en est encore qu’à ses débuts, et de nombreux travaux […]

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *