La semaine dernière, le piratage spectaculaire de 1,5 milliard de dollars de Bybit a suscité de vives discussions au sein de la communauté cryptographique, avec certains membres de l’industrie suggérant que la conception d’Ethereum aurait pu jouer un rôle. Le vol d’environ 401 000 éthers (ETH), orchestré par le groupe nord-coréen Lazare, a soulevé des interrogations sur la complexité d’Ethereum et sa vulnérabilité potentielle face à des exploits sophistiqués, ou si la responsabilité doit être attribuée à d’autres facteurs.
Le piratage aurait eu lieu lors d’un transfert normal du portefeuille froid de Bybit vers un portefeuille chaud. Selon le communiqué officiel de l’échange sur la plateforme X, la transaction “a été manipulée par une attaque sophistiquée qui a masqué l’interface de signature”, affichant l’adresse correcte tout en falsifiant la logique contractuelle intelligente sous-jacente. Cette manipulation a permis aux attaquants de prendre le contrôle du portefeuille froid et de transférer les fonds vers une adresse privée.
Certains acteurs du milieu crypto ont proposé de faire reculer la blockchain pour récupérer les fonds dérobés, établissant un parallèle avec le Hack de Dao de 2016. Les partisans de cette idée soutiennent que cela pourrait rétablir la confiance et dissuader d’éventuelles attaques futures à grande échelle. Cependant, Tim Beiko, développeur principal, a rapidement écarté ces suggestions, les qualifiant de “techniquement insolubles”, et a averti que la falsification du grand livre pourrait éroder la promesse d’immuabilité de la blockchain.
Ethereum est-il responsable ?
Parmi les préoccupations soulevées concernant le rôle d’Ethereum dans cet exploit, Alexander Leishman, fondateur de River Financial et ancien assistant pédagogique dans le cours de crypto-monnaie CS251 à Stanford, a suggéré que la vaste “surface d’attaque” d’Ethereum aurait pu faciliter les efforts des cybercriminels.
Leishman a écrit sur X : « La surface d’attaque de l’ETH est massive. Des aspects préoccupants. J’aimerais vraiment voir quelqu’un analyser précisément ce qui s’est passé ici […] Le piratage de Bybit me rappelle mon expérience en tant qu’assistant dans un cours de crypto-monnaie à Stanford, où les étudiants devaient déceler 8 bugs intentionnellement intégrés dans un contrat d’ETH. Au final, ils en ont identifié 15. »
Il a également comparé la complexité d’Ethereum à celle du modèle UTXO de Bitcoin, en expliquant qu’en signant une transaction Bitcoin, on vérifie simplement la transition d’état, ce qui est généralement clair sur un écran de portefeuille matériel. En revanche, les signatures d’ETH peuvent inclure non seulement des transferts de fonds, mais aussi des instructions pour invoquer une logique complexe de contrats intelligents.
Il a précisé : « Cela a sans aucun doute un rapport avec Ethereum. Dans Ethereum, vous ne vous déconnectez pas simplement d’un mouvement de fonds, mais également d’une commande pour envoyer un contrat intelligent (ce qui pourrait entraîner un mouvement de fonds supplémentaire) – une interface utilisateur très sujette aux erreurs. Les transactions ETH n’indiquent pas la transition d’état, mais représentent plutôt la commande qui déclenche cette transition. »
Toutefois, tous ne s’accordent pas à dire que la structure d’Ethereum mérite d’être remise en cause. Toghrul Maharramov, chercheur chez Fluent, a insisté sur le fait que cet exploit “n’a rien à voir avec Ethereum ou l’EVM”, suggérant qu’il s’agissait d’un piratage agnostique et que se concentrer sur la blockchain elle-même déviait l’attention des véritables lacunes de sécurité.
De son côté, Anthony Sassano, éducateur indépendant en ETH et fondateur du Daily GWEI, a été plus ferme dans sa critique, suggérant que le piratage de Bybit “n’avait rien à voir avec un bug dans un contrat intelligent d’Ethereum”. Il a rejeté toute corrélation entre l’architecture d’Ethereum et cette violation, soulignant que les vraies faiblesses résidaient dans les pratiques de sécurité et de gestion des portefeuilles de Bybit.
Leishman a ensuite précisé qu’il n’avait jamais insinué que le piratage de Bybit était dû à un bogue dans le code Ethereum. «Wow, les podcasteurs ETH sont très sensibles. Je n’ai jamais dit que le piratage de Bybit était le résultat d’un bug de contrat intelligent. Je partageais simplement une anecdote sur la manière dont la complexité d’Ethereum conduit à des problèmes de sécurité délicats », a-t-il écrit.
Son argument principal repose donc sur la difficulté de vérifier l’impact ultime d’une transaction lorsque des contrats intelligents Ethereum sont impliqués. Le piratage de Bybit a résulté du modèle de contrat « intelligent » d’Ethereum, rendant très difficile l’évaluation de la transition d’état que les transactions signées du contrat multisig pourraient déclencher. Il est beaucoup plus sûr lorsque la transaction indique la transition d’état », a conclu Leishman.
À l’heure où nous écrivons ces lignes, l’ETH se négocie à 2 705 $.
Image vedette créée avec Dall.E, graphique de TradingView.com
Résumé : Le piratage de 1,5 milliard de dollars de Bybit soulève des questions sur la vulnérabilité d’Ethereum face aux exploits sophistiqués. Certains experts estiment que la complexité de son écosystème peut faciliter de tels vols, tandis que d’autres soutiennent que la responsabilité incombe davantage aux pratiques de sécurité de l’échange. Le débat continue alors que les acteurs de la crypto tentent de trouver des moyens de prévenir de futurs incidents similaires.
