Un attaquant inconnu a incité les développeurs Ethereum à déployer un «correctif privé» alors que le réseau a été confronté à des problèmes techniques lors de la mise à niveau de PECTRA sur le testnet de Sepolia.
Dans un rapport post-incident, le développeur d’Ethereum, Marius van Der Wijden, a révélé que l’attaquant a exploité un «cas de bord» négligé, déclenchant à plusieurs reprises les erreurs en envoyant des transferts zéro au contrat de dépôt, compliquant encore un déploiement déjà troublé.
Ce qui s’est passé?
Le 5 mars, la mise à niveau de Pectra a été mise en ligne sur Sepolia, mais presque immédiatement, les développeurs ont commencé à voir des messages d’erreur apparaître sur leurs nœuds Geth, parallèlement à une augmentation des blocs vides extraits.
Selon Van der Wijden, la question provenait du contrat de dépôt émettant un événement inattendu – un événement de transfert au lieu de l’événement de dépôt requis – qui a fait rejeter les nœuds les transactions et ne produire que des blocs vides.
Le bogue était lié à l’EIP-6110, qui exigeait que tous les journaux du contrat de dépôt soient traités uniformément.
L’équipe Geth a déployé un correctif qui «ignorerait tous les journaux erronés provenant du contrat de dépôt», mais les développeurs auraient ignoré un cas de bord spécifique dans la norme ERC-20.
« La norme ERC20 n’interdit pas le transfert de jetons 0, ce qui permet à quiconque (même s’il ne possède aucun jeton) de transférer 0 jetons à une autre adresse qui émettra un événement », a expliqué Van der Wijden, ajoutant qu’un «attaquant» en a profité à plusieurs reprises en envoyant à plusieurs reprises des transferts zéro au contrat de dépôt.
Cela a déclenché la même erreur et a provoqué la poursuite des blocs vides du réseau.
Vous pourriez également aimer: La mise à niveau de PECTRA d’Ethereum sur Sepolia rencontre des problèmes
Initialement, les promoteurs soupçonnaient qu’un validateur de confiance avait fait une erreur, mais lors de l’enquête, ils ont retracé la question d’un compte nouvellement financé d’un robinet public.
Pour arrêter l’attaque, les développeurs devaient filtrer les transactions interagissant avec le contrat de dépôt. Cependant, ils soupçonnaient que l’attaquant surveillait leurs conversations, ce qui les a incité à déployer un «correctif privé» pour sélectionner les nœuds DevOps contrôlant environ 10% du réseau.
Une fois le correctif déployé, les nœuds ont repris la production de blocs complets, permettant à la chaîne de fonctionner normalement par 14h00 UTC. Quelques blocs plus tard, la transaction de l’attaquant a été exploitée avec succès, confirmant que tous les opérateurs de nœuds avaient mis à jour.
Malgré les perturbations, Ethereum n’a jamais perdu la finalisation « , et le problème était limité à Sepolia, car son contrat de dépôt informel en jeton différait du contrat de dépôt Mainnet Ethereum, selon Van Der Wijden.
Néanmoins, les développeurs ont décidé de retarder la mise à niveau de PECTRA pour d’autres tests et débogage.
Quelle est la mise à niveau de PECTRA d’Ethereum?
La fourche PECTRA est conçue pour améliorer le stimulation des ETH, améliorer l’évolutivité de la layer 2 et étendre la capacité du réseau. Il introduit 11 propositions d’amélioration Ethereum (EIPS) et marque la première mise à niveau majeure depuis Dencun, qui a été mis en ligne en mars 2024.
Comme indiqué précédemment par Crypto.News, les développeurs prévoyaient de déployer Pectra sur le maintien d’ici le 8 avril, à condition que les TestNets de Holesky et Sepolia aient réussi leurs mises à niveau.
La mise à niveau a été mise en œuvre pour la première fois sur le Holesky TestNet le 24 février, où elle a également rencontré des problèmes techniques qui ont empêché la finalisation.
En savoir plus: L’audit de mise à niveau PECTRA d’Ethereum, reste sur la bonne voie pour le lancement
