En début de semaine, CoinDash s’est fait dérober pour environ 6 millions d’euros en Ether lors de son ICO (Initial Coin Offering). Ce jeudi, rebelote, mais pour l’éditeur Parity cette fois-ci : une vulnérabilité dans les portefeuilles numériques à multiples signatures a permis à des attaquants de récupérer environ 153 000 Ether, pour une valeur d’environ 30 millions de dollars. Un sale coup tant pour l’éditeur que pour la réputation de la monnaie.
Les Ether ont été détournés en trois transactions distinctes, comme le relate Etherscan.io. On apprend également que le casse aurait pu être bien pire puisque 377 000 Ether supplémentaires étaient vulnérables au moment de l’attaque.
Parity a rapidement réagi en demandant à ses utilisateurs de transférer leurs fonds sur des adresses sécurisées. Le PDG de Parity Gavin Wood a quant à lui pris la parole, expliquant que trois adresses de portefeuilles numériques auraient été compromises. Des chercheurs et experts sont parvenus à les identifier. Il s’agit de celles de Edgeless Casino (26 793 Ether), Swarm City (44 055 Ether) et æternity (82 189 Ether). Ils ont tous confirmé avoir été victimes de l’attaque.
Une faille de sécurité, un grand casse
La communauté a elle aussi rapidement réagi, notamment un groupe de White Hat ainsi que des experts. La faille a vite été patchée suite à l’attaque qui n’a en soi rien de très exceptionnel. Les portefeuilles multi-signatures de Parity, qui sont des « smart contracts » utilisés par Ethereum, étaient donc victimes d’une faille de sécurité dans la version 1.5.
C’est elle qui a donc été exploitée par les attaquants pour récupérer 30 millions de dollars. Avec le vol de début de semaine sur CoinDash, c’est donc la deuxième fois que la monnaie Ether est victime d’un piratage massif. Ce qui bien entendu met à mal tant son image que sa réputation. La constitution de l’Ethereum Alliance pourrait être une première réponse en termes organisationnel face à ces attaques. Récemment, elle a ajouté de nombreux membres. Elle compte désormais dans ses rangs Cisco, MasterCard, Microsoft, JP Morgan ou encore Accenture.