Incidents associés
Nous avons fait de notre mieux pour organiser et clarifier les développements du hack DAO. Cette page sera mise à jour pour refléter les nouveaux développements. N'hésitez pas à signaler les incohérences et suggérer des mises à jour.
[Lire cette FAQ en anglais]
MISE À JOUR 30 juin : La solution temporaire envisagée - un soft fork (voir Q8 ci-dessous), - a été abandonnée. La logique est la sécurité : peu de temps après la proposition d'implémentation technique du soft fork, un vecteur d'attaque nuisible a été identifié. Voici une explication simple de ce que cela pourrait causer au réseau :
Donc, en termes simples : le soft-fork permettrait à un attaquant d'envoyer de nombreuses transactions à un nœud de minage que le nœud devrait exécuter afin de détecter qu'un appel est en cours vers le contrat. Cela ne coûterait rien à l'attaquant et ralentirait et arrêterait potentiellement l'extraction des transactions pendant que le soft fork est en place. Un attaquant bien organisé et bien financé pourrait probablement perturber considérablement le réseau et réduire les frais que vous recevez en utilisant cette attaque.
Bien que le vecteur n'ait pas été utilisé pour attaquer le réseau jusqu'à présent, il a le potentiel d'endommager considérablement le réseau. Par conséquent, le soft fork proposé il y a quelques jours (voir Q8. ci-dessous) ne se produira pas. Les options actuelles sur la table ne sont pas claires, mais les discussions au sein de la communauté commencent à montrer une acceptation croissante d'un hard fork (voir Q10 ci-dessous pour ce que c'est).
Le 17 juin 2016, un individu ou un groupe inconnu a exploité The DAO. Ce dernier est le premier et le plus grand fonds de financement participatif et de type crowdequity entièrement basé sur la blockchain Ethereum. Si vous souhaitez avoir un aperçu du DAO, veuillez lire cette explication.
Le ou les attaquants ont exploité une vulnérabilité logicielle et ont commencé à drainer l'éther de l'adresse principale où il était stocké. Cette attaque a entraîné le drainage de quelque 3,6 millions d'éther du DAO. Cela équivaut à environ un tiers de l'éther DAO.
L'éther drainé a été dirigé vers ce que l'on appelle un « enfant DAO ». Ce 'child DAO' est une adresse dont l'unique curateur est l'agresseur ou le groupe d'agresseurs. Par conséquent, environ un tiers du fonds total du DAO s'est retrouvé piégé dans cet «enfant DAO». Mis à part les détails techniques, les actifs détournés ne peuvent pas être retirés par l'attaquant pendant un total de 27 jours suivant la création du DAO enfant.
Dans les questions-réponses suivantes, nous avons fait de notre mieux pour démêler les complexités de l'attaque et expliquer leurs implications. Comme il s'agit d'une situation évolutive, nous mettrons certainement à jour notre explicatif pour refléter les nouveaux développements.
« Q1. Alors, vous savez qui a piraté le DAO ? »
Non, nous ne le faisons pas. En dehors du ou des auteurs, personne de la communauté Ethereum ne semble savoir qui est le ou les attaquants. Ce que l'on sait à l'heure actuelle, c'est que :
(a) le ou les agresseurs ont eu besoin de sept jours pour amorcer la scission ;
(b) les deux contrats clés qui détenaient les jetons et permettaient la scission récursive ont été créés deux jours avant l'attaque ; et
(c) le ou les attaquants sont prudents et ont utilisé de l'éther provenant d'un compte chez ShapeShift.
"Q2. Le piratage était-il une attaque (comme dans une 'mauvaise action') ?"
Le piratage de The DAO est causé par une vulnérabilité logicielle. Certains pourraient affirmer que le contrat sous-jacent au DAO a permis à l'exploit de se produire et, par conséquent, l'auteur du piratage a exécuté un contrat intelligent valide avec une "fonctionnalité de drainage". Il y a cependant des indications claires que le piratage est mal intentionné depuis sa création :
1/ Le hacker considère que les 3,6 millions d'ethers qu'il a drainés du DAO sont une récompense pour l'exploit. Ceci est contraire à la mission du DAO qui est de financer des projets.
2/ Il n'existe aucun moyen de valider de manière indépendante que la "lettre ouverte" diffusée il y a quelques jours est bien l'auteur du piratage. Ce texte est la seule expression publique du hacker ou du groupe de hackers, et sa position et sa tonalité sont clairement contradictoires. La « lettre ouverte » ne contient aucune mention d'une approche constructive, mais comprend une formulation explicite selon laquelle l'auteur a rationnellement causé un préjudice :
"J'ai soigneusement examiné le code de The DAO et j'ai décidé de participer après avoir trouvé la fonctionnalité où le fractionnement est récompensé par de l'éther supplémentaire."
Cette phrase, ainsi que toute la lettre, sont un message réfléchi et calculé. Comme mentionné ci-dessus et clairement vu dans cette "lettre ouverte", pour le pirate informatique, le point final de l'opération était de conserver les fonds détournés, plutôt que de financer des sociétés.
3/ Le ou les auteurs ont proposé de distribuer des fonds (à la fois en bitcoin et en ether) aux mineurs qui refusent de suivre le fork proposé. Une telle décision vise clairement à nuire à la confiance et à diviser la communauté Ethereum, que lesdits mineurs détiennent ou non des jetons DAO.
Toutes choses combinées et tous grains de sel ajoutés, il semble clair que l'intention du pirate était de nuire au DAO et à la communauté Ethereum. Les actions mal intentionnées de l'auteur mettent une marque noire de confiance dans le domaine des technologies cryptographiques. Pour ces raisons, nous qualifions le piratage d'attaque, et le ou les auteurs du piratage d'attaquant(s).
"Q3. OK, ça ressemble à un mec