La testnet Ethereum Sepolia subit une attaque lors de la mise à niveau de PECTRA

• Les développeurs d’Ethereum rapportent que le testnet Sépolia a subi une attaque suite au déploiement de PECTRA.
• Un correctif temporaire a été mis en place pour contenir l’attaquant.

Récemment, la mise à niveau PECTRA d’Ethereum a été lancée sur le testnet de Sépolia, où elle a rencontré des erreurs accrues en raison des actions d’un attaquant. Selon les développeurs, cette attaque a exploité un cas de bord manqué dans un contrat ERC20.

Pourquoi Sépolia produit-elle des blocs vides ?

Comme nous l’avons mentionné dans notre dernier rapport, les développeurs d’Ethereum ont réussi à activer la mise à niveau PECTRA sur le testnet de Sépolia le 5 mars, dans le but de tester les nouvelles fonctionnalités de mise à niveau dans des conditions de réseau simulées.

Cependant, le 8 mars, Marius van der Wijden, développeur chez Ethereum, a signalé que Sépolia avait rencontré des difficultés peu après l’activation. L’équipe a observé des messages d’erreur sur son nœud Geth et des blocs vides.

Le message d’erreur indiquait : « Impossible de traiter les données de dépôt : mauvaise longueur de dépôt : attente de 576, reçu 32. » Les développeurs ont déterminé que cette erreur était due à un événement de transfert, et non à un dépôt.

Van der Wijden a précisé que l’équipe a agi rapidement pour corriger le problème en remplaçant les transactions qui provoquaient ces erreurs récurrentes.

Cependant, ils ont réalisé qu’ils avaient échoué à identifier un cas de bord dans la spécification ERC20. Un utilisateur anonyme a rapidement exploité cette vulnérabilité en effectuant un transfert de 0-token à l’adresse de dépôt, ce qui a à nouveau déclenché l’erreur.

« Après quelques minutes, nous avons remarqué beaucoup de blocs vides, ce qui nous a amenés à examiner les pools de transaction et à identifier une autre transaction problématique déclenchant les mêmes erreurs », a expliqué Van Der Wijden.

Au départ, l’équipe pensait qu’un des validateurs de confiance avait commis une erreur. Ils ont finalement appris que cette transaction provenait d’un nouveau compte récemment financé par le robinet, révélant que quelqu’un avait découvert un cas de bord manqué dans le contrat ERC20.

Les développeurs d’Ethereum réagissent face à l’attaque de Sépolia

Les développeurs d’Ethereum ont immédiatement déployé une solution temporaire pour empêcher l’attaquant de causer davantage de désagréments. Van der Wijden a indiqué qu’ils avaient choisi cette approche en raison de leurs soupçons que l’attaquant surveillait leurs échanges.

L’équipe a mis à jour uniquement certains nœuds qu’elle contrôlait afin d’obtenir plus de blocs remplis sur le réseau. Le correctif a filtré les transactions faisant des appels directs au contrat de dépôt.

Une fois tous les nœuds EF_DEVOPS mis à jour, l’extraction de blocs complets a repris, permettant aux utilisateurs de continuer à interagir avec la chaîne jusqu’à ce que le déploiement du correctif complet soit coordonné.

À 14 heures ce jour-là, tous les nœuds avaient été actualisés avec les nouvelles versions intégrant le correctif complet, et la transaction de l’attaquant a été correctement exploitée. Van der Wijden a rassuré les utilisateurs en affirmant qu’aucune finalisation n’avait été perdue pendant cet incident. Ce problème n’est survenu que sur Sépolia, car ils utilisaient un contrat de dépôt particulier plutôt que le contrat habituel.

Comme précisé dans nos précédents articles, la mise à niveau PECTRA d’Ethereum introduit 11 nouvelles fonctionnalités, incluant des améliorations en termes d’évolutivité. Les développeurs avaient auparavant tenté de déployer cette mise à niveau sur le testnet Holesky le 26 février, mais des problèmes avaient été découverts, entraînant un report des tests.

Recommandé pour vous :