Les blockchains ou chaînes de blocs, des bases de données distribuées transparentes, sont, avec les crypto-monnaies, souvent présentées comme l’avenir de la finance et des banques.
Pourtant, dans les faits, il s’agit d’outils de spéculations financières, à l’abri des regards, comme en témoignent des cours en progression exponentielle, sans raison.
La semaine dernière, un pirate a dérobé, en quelques minutes, pour 27 millions d’euros d’Ether, la crypto-monnaie de l’Ethereum, sans doute la chaîne de blocs la plus développée actuellement.
C’est le deuxième vol le plus important de l’histoire des monnaies numériques.
Tout laisse à penser que le pirate a agi manuellement. Si le pirate avait développé et exploité des scripts, il aurait pu voler plus de 150 millions d’euros en quelques secondes.
Des pirates éthiques (white hats), auraient rapidement découvert le piratage. Ils auraient conclu rapidement qu’il était impossible de récupérer les fonds. Pire encore, tous les portefeuilles virtuels sont susceptibles d’être attaqués.
Ils ont alors pris l’initiative de pirater eux-mêmes tous les autres portefeuilles, afin d’empêcher le pirate d’en prendre le contrôle!
Encore une fois, il est expliqué qu’il n’y a pas de faille dans l’Ethereum, mais que la faille se situe sur le plan des contrats intelligents par défaut. N’est-ce pas, en dernière analyse, la même chose ?
Les ‘contrats intelligents’ sont des programmes informatiques qui seraient comme des contrats habituels, sans nécessiter l’interprétation d’avocats ou de juges.
Tout programme informatique est bogué. Malgré leur simplicité, les contrats intelligents sont souvent bogués. Le contrat intelligent par défaut de l’Ethereum est bogué : il permet de réinitialiser un portefeuille, et donc d’en prendre la propriété.
Un programme en code source ouvert, bénéficiant de l’appui de l’équipe à l’origine de l’Ethereum, de l’équipe de Parity, à l’origine du client développé en Rust, ironiquement un langage de programmation conçu pour être sûr, et ayant théoriquement fait l’objet de nombreuses évaluations par les pairs, inclut ainsi des bogues critiques.
Depuis, Parity a annoncé le lancement d’un programme de primes pour les chasseurs de bogues. C’est mieux que rien, mais n’est-il pas plus rentable dans ce secteur d’exploiter les bogues, plutôt que d’en informer le développeur ?