Blockchain Daily News - DLT, token, ICO, crowdsale journal
Blockchain Dail Blockchain Dail

Blockchain Daily News - DLT, token, ICO, crowdsale journal

 
 
              

L’ICO CoinDash piratée. Ethereum n’y est pour rien


Avant-hier, 17 juillet 2017, un pirate est arrivé à voler plus de 8 millions de dollars en ether dans les toutes premières minutes de l’ICO de CoinDash (1), qui propose (toujours) une plateforme d’échange pour trading décentralisée.






David Teruzzi
David Teruzzi
Comme dans toutes les ICO, les investisseurs acquièrent une participation et s’embarquent dans l’aventure entrepreneuriale en achetant des actifs numériques appelés jetons. Ce moyen de financement est devenu très populaire sur Ethereum. Ils sont nombreux à vouloir participer dans l’espoir d’émuler certaines succes-stories mémorables qui ont récolté des millions de dollars en quelques minutes et en direct. Mais même des applications très banales (voire ridicules) arrivent à lever des milliers de dollars, ce qui dépasse leur espoir via les circuits classiques.

Une ICO est une opération technique très complexe dans les coulisses. Elle se doit toutefois de garder une simplicité enfantine pour l’investisseur final afin d’encourager la participation. C’est pourquoi Coindash a fait au plus simple, comme beaucoup d’autres prédécesseurs: il a publié une chaîne de texte sur la page web principale représentant l’adresse ethereum pour la récolte de fonds.

Les investisseurs n’avaient qu’à envoyer leur argent à cet adresse.

L’ICO a commencé à 15h précises (heure de Paris) ce lundi. Quelle a dû être la surprise dans les locaux de CoinDash en voyant dans les premières secondes le montant de la levée figé à zéro. L’ICO était présentée comme l’une des plus prometteuses de l’été et il n’y avait aucune chance de ne rien lever. N’importe quelle ICO voit ses compteurs monter, surtout dans les premières heures. L’inconnu est le montant final, mais personne n’a jamais enregistré une levée zéro!

Quelle explication pouvait-on donner ?

On imagine les techniciens devant l’écran parcourir en imagination les couches de l’application. Que peut-il bien se passer? Une faille dans Ethereum à très bas niveau? Difficile à croire. Une erreur dans le token? Improbable: on est encore dans la phase de récolte initiale. Un bug dans le back-end de notre site web? Non: cela n’impacte pas à priori ce qui va dans le registre public de la blockchain. Dans le front-end? On n’y croit pas.

Quelques minutes plus tard, CoinDash fermait le site et affirmait dans un communiqué public que le site Web avait été piraté, demandant de ne plus rien envoyer à l’adresse de récolte.

Dans les heures suivantes, des bruits ont tenté d’anticiper les raisons de l’accident.

1. On a évoqué une faille dans le protocole ERC20, le même jusqu’ici utilisé pratiquement pour toutes les ICO Ethereum. Cela aurait été assez grave parce que ça aurait pu remettre en discussion les ICO suivantes.
2. Certains sur twitter, imaginant une faille dans Ethereum, se demandaient déjà si Vitalik allait imposer un hard-fork pour récupérer l’argent de CoinDash...
3. On a aussi évoqué la complicité de l’équipe CoinDash ou d’un des employés, qui ayant accès au système aurait facilement pu détourner les fonds.

Finalement, le hack a été incroyablement simple: le pirate a tout simplement pris le contrôle du site officiel de Coindash et remplacé la textbox contenant l’adresse Ethereum de la société par sa propre adresse de portefeuille éther. Lorsque les gens envoyaient des ethers à Coindash, ils les envoyaient ainsi au pirate et non pas à l’entreprise.

Même si Coindash a rapidement trouvé la faille, trois minutes seulement après le lancement de l’ICO, le drame était consommé. Plus de 7 millions de dollars (2) perdus pour l’ICO qui devra vraisemblablement rembourser (heureusement pour eux, sous forme de tokens).

« Tout ce que nous savons maintenant, c’est qu’un attaquant externe a changé d’adresse immédiatement après la vente« , a déclaré Ram Avissar, directeur marketing de Coindash, à Motherboard dans le Slack. « Nous avons arrêté l’ICO et nous étudions la meilleure manière de compenser ceux qui ont été touchés …Tous les investisseurs de CoinDash obtiendront leurs jetons »

Ce piratage est l’un des plus importants dans la blockchain Ethereum à ce jour, après l’accident du DAO qui avait perdu plus de 50 millions de dollars.
Il est important de comprendre que dans ce cas il ne s’agit nullement d’une faille dans le protocole Ethereum, ni dans celui du standard ERC20 ni d’un bug dans un des smart-contracts qui régissaient l’ICO.

(1) https://www.coindash.io/
(2) https://etherscan.io/address/0x6a164122d5cf7c840d26e829b46dcc4ed6c0ae48

David Teruzzi est rédacteur du blog blogchaincafe.com, spécialisé dans la blockchain et son univers.
Il est en même temps directeur technique et co-fondateur de blockchain-conseil.fr

Les médias du groupe Finyear

Lisez gratuitement :

BLOCKCHAIN DAILY NEWS

Le quotidien Blockchain Daily News :
- Blockchain Daily News

Sa newsletter quotidienne :
- Blockchain Daily News Newsletter
Recevez chaque matin par mail la newsletter Blockchain daily News, une sélection quotidienne des meilleures infos et expertises en Blockchain révolution.

Sa lettre mensuelle digitale :
- The Chief Blockchain Officer


FINYEAR

Le quotidien Finyear :
- Finyear Quotidien

Sa newsletter quotidienne :
- Finyear Newsletter
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises en Finance innovation & Digital transformation.

Ses 4 lettres mensuelles digitales :
- Le Directeur Financier
- Le Trésorier
- Le Credit Manager
- The Chief Digital Officer

Finyear magazine trimestriel digital :
- Finyear Magazine

Un seul formulaire d'abonnement pour choisir de recevoir un ou plusieurs médias Finyear

Wednesday, July 19th 2017
Rate it


New comment:

Your email address will not be published. Required fields are marked *
Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

More on Blockchain Daily News


Recevez la newsletter quotidienne


Cryptocurrencies


Lettre mensuelle


Conferences


Liens utiles


Actus Nasdaq