Un piratage de 80 millions de dollars montre les dangers de l'argent programmable

L'argent devient de plus en plus facile à contrôler via les logiciels et Internet. Un piratage spectaculaire contre un fonds d'investissement qui a placé plus de 130 millions de dollars d'actifs dans le contrôle de logiciels montre que le concept présente des inconvénients importants.





L'organisation autonome décentralisée - ou DAO - a été construite sur un système de monnaie numérique appelé Ethereum et est devenue le plus grand projet de financement participatif de l'histoire. Le logiciel du DAO a été conçu pour répartir le financement des projets sur la base du vote des personnes qui l'avaient financé. Il a été présenté comme un exemple des nouvelles choses incroyables rendues possibles par Ethereum, qui a été inspiré par Bitcoin mais destiné à permettre aux logiciels de contrôler l'argent.

Tôt vendredi, quelqu'un a commencé à exploiter une faille dans la conception d'Ethereum pour extraire plus de 3,6 millions d'Ether du DAO— un montant d'environ 80 millions de dollars par la valeur de la monnaie juste avant l'attaque. (Le prix a depuis considérablement baissé.)

Le DAO avait été annoncé non seulement pour son ampleur surprenante, mais comme un exemple du genre de chose qu'Ethereum a été créé pour permettre - de nouvelles formes de financement basées sur des logiciels capables de contrôler la monnaie numérique. Tout à coup, Ethereum et l'idée de mettre un logiciel complexe dans le contrôle de l'argent ne semblent pas si intelligents.



Tous les logiciels sont livrés avec des bogues. Et l'argent est parfois volé via des moyens numériques à des institutions financières conventionnelles, par exemple dans le attaques récentes contre le système SWIFT utilisé pour les virements transfrontaliers.

Mais lorsque le logiciel est habilité à contrôler directement les fonds, comme Ethereum a été conçu pour le permettre, la sécurité devient plus critique.

Malheureusement, les concepteurs d'Ethereum et du DAO ne semblent pas s'être beaucoup inspirés des techniques standard que les programmeurs et les informaticiens ont développées pour contenir le risque de failles de sécurité. Le code du DAO n'était pas accompagné de documentation expliquant la conception de ses différentes pièces, par exemple. Cela aurait pu aider quelqu'un à repérer et à corriger la faille utilisée dans le braquage DAO plus tôt, peut-être avant sa sortie.



Et la conception et la mise en œuvre du langage de programmation d'Ethereum manquent de fonctionnalités standard dans les cadres utilisés pour programmer des systèmes critiques, selon un post mortem sur le hack , par Emin Gün Sirer, professeur associé à Cornell. Une refonte semble nécessaire, a-t-il écrit.

Il y avait de nombreux avertissements que la conception d'Ethereum avait des problèmes de sécurité avant le piratage d'aujourd'hui. La faille utilisée contre le DAO était signalé plus tôt ce mois-ci par Peter Vessenes, un entrepreneur Bitcoin qui avait précédemment averti que les logiciels construits sur Ethereum seraient bonbons pour les pirates .

Dans un papier 2014 , des chercheurs de l'Université du Maryland qui avaient demandé aux étudiants de construire des choses avec Ethereum ont conclu que plusieurs détails subtils sur la mise en œuvre d'Ethereum rendaient la programmation de contrats intelligents sujette aux erreurs.



Et en mai, Sirer et deux personnes actives dans la communauté des crypto-monnaies, dont un chercheur du projet Ethereum, ont appelé à la DAO pour être efficacement gelé jusqu'à ce que les failles de sécurité de ses mécanismes de vote soient corrigées.

À la suite de l'attaque contre le DAO, la valeur d'Ether a chuté. Il n'est pas possible de simplement corriger la faille utilisée contre le DAO en publiant une mise à jour logicielle, mais des tentatives sont en cours pour empêcher d'autres attaques en utilisant des astuces telles que bloquer Le système d'Ethereum pour le traitement des transactions.

Une véritable solution aux problèmes d'Ethereum prendra beaucoup de temps, et peut-être une refonte complète d'une grande partie de sa technologie.



Les dommages psychologiques du piratage DAO prendront également du temps à réparer. S'ils sont bien faits, les logiciels capables de contrôler l'argent pourraient ouvrir de nombreuses nouvelles opportunités commerciales et étendre les services financiers aux personnes qui ne peuvent pas actuellement les recevoir. Mais voir les conséquences des failles de sécurité dans de tels logiciels pourrait décourager les investissements nécessaires pour concrétiser cette idée.

cacher