La news de ces 2 derniers jours dans la communauté cryptomonnaie, c’est bien évidemment ce « bug » dans le wallet Parity qui a provoqué la blocage de 1 million d’Ethereum (environ 280 millions de dollars au moment des faits. Environ 154 millions de dollars maintenant.).
Ouch.
Ce problème touche les wallets multisignatures créées après le 20 juillet 2017. Ces wallets multi signature disposent de mesures de sécurité cryptographiques qui nécessitent la signature par plusieurs utilisateurs d’une transaction afin qu’elle soit traitée et validée. Une fonction dans la lib de Parity permet de convertir un wallet « single owner » (avec un seul propriétaire) en wallet nécessitant des signatures multiples. Et c’est là qu’intervient le développeur Devops199 qui en modifiant le code (open source) de la lib Parity, s’est attribué la propriété de tous les nouveaux wallet multi signatures créés avec Parity.
Ah et pendant que j’y pense, je ne sais pas si vous connaissez LiteBit mais c’est un site vraiment fiable pour acheter vos premières cryptomonnaies au meilleur tarif. (lien partenaire)
Puis d’un coup de baguette magique, il a supprimé son smart contract, ce qui a entrainé le blocage des comptes multi signature créés après l’introduction du bug en juillet. C’est moche et j’imagine que les gens sont ravis.
Parmi ceux qui ne peuvent plus toucher à leurs Ethereum, il y a le fondateur de Parity qui se retrouve avec 90 millions de dollars pris dans la glace. Parity mène l’enquête et travaille évidemment à trouver une solution pour résoudre le problème.
Le fameux Devops199 que beaucoup de personnes doivent avoir envie de tuer, s’est fait connaitre sur le Slack du projet et semble s’inquiéter des éventuelles poursuites judiciaires.
La première question qui me vient à l’esprit, c’est : Ne l’aurait-il pas fait exprès ? Ça me semble gros et l’erreur est humaine, mais le gars n’est peut-être pas si innocent que ça. Peut-être voulait-il introduire un genre de backdoor dans Parity et il s’est emmêlé les pinceaux, a paniqué puis a supprimé le wallet qui lui donnait accès à ces comptes multisignature… Je pense que ça mérite une petite enquête quand même.
La seconde question que je me pose c’est concernant les process de dev chez Parity. Ok c’est de l’open source, c’est cool, chacun peut apporter sa pierre à l’édifice, mais là, on parle quand même d’un outil utilisé pour stocker quelque chose qui a une valeur monétaire. C’est un peu comme si j’étais un fabriquant de coffres forts et que je laissais de parfaits inconnus fabriquer des coffres à ma place sans en vérifier la qualité ni s’ils sont percés. Ce n’est pas un peu risqué vis-à-vis de la clientèle ?
La troisième question à se poser, c’est concernant la solidité d’Ethereum concernant son langage « Solidity » (et des outils qui y sont associés comme le compilateur). Là dessus, je ne suis pas expert, mais je vous partage le point de vue de l’expert en sécurité Matthieu Suiche, qui pense que le « vendeur » (Ethereum donc) a aussi sa part de responsabilité.
Enfin, la dernière, mais pas des moindres : Est-ce que c’est réparable ? Honnêtement, mon sentiment le plus profond est que sans hard fork rétropédalé, cela a peu de chance de se résoudre. Mais on verra bien si Parity trouve la clé de cet épineux problème.
J’espère que de votre côté, vous n’avez pas été impacté par ce problème.