Le célèbre hacker Jay Freeman a découvert une faille critique sur la plateforme Optimism qui permettait de créer une quantité infinie de jetons ETH.
Le 2 février, l'équipe d'Optimism a été alertée de l'existence d'une faille critique sur sa plateforme le 2 février dernier par Saurik, alias Jay Freeman, un ingénieur logiciel et hacker américain bien connu.
De l’Ethereum à n’en plus finir
Pour avoir prévenu la plateforme de l’existence du bug, Saurik s’est vu accorder une prime de 2 millions de dollars. Un montant exorbitant justifié par la nature même de la faille. Le bug en question permettait de générer des cryptomonnaies à l’infini. Ce qui aurait profondément déstabilisé l’économie de la plateforme à n’en pas douter. Deux autres plateformes Boba et Metis, toutes deux associées à Optimism, ont été affectées. « L'analyse de l'historique de la chaîne d'Optimism a montré que le bug n'était pas exploité (le bogue semble avoir été accidentellement déclenché à une occasion par un employé d'Etherscan mais aucun excès d'ETH utilisable n'a été généré) », détaille l’entreprise dans un billet blog. Depuis, des correctifs ont été appliqués et Optimism invite les utilisateurs à se mettre à niveau avec la version 0.5.11, s’ils ne veulent pas risquer d’être désynchronisés d’avec le réseau.
Décentralisation = complexité
Mea culpa de la part de la plateforme qui a tenu à être transparente et traite ce bug comme « une chance d’introspection ». « Optimism a beaucoup grandi au cours de la dernière année. Au début de notre cycle de vie, le processus de publication impliquait une coordination avec seulement une poignée de fournisseurs d'infrastructure clés », rappelle la Plateforme. Mais très vite, elle a dû composer avec plus de fournisseurs, de nouveaux ponts etc. et donc avec plus de difficultés.
Mais s’il y a bien une leçon à tirer de cette mésaventure, c’est que, les blockchains, souvent dépeintes comme très sécurisées, ne sont pas exsangues de failles. Alors que les cryptoactifs tendent à se démocratiser, il ne se passe pas un mois sans qu’une plateforme d’échanges ne se fasse pirater. Citons : Wormhole, victime d'un vol à 320 M$ début février, ou encore Crypto.com visée par des hackers le mois dernier, qui sont parvenus à dérober 15M$ en Eth.