Le 29 octobre, un chercheur en sécurité Web3 de Spearbit connu sous le pseudonyme jayjonah.eth a fait une publication sur X contenant un article de blog qu’il a écrit sur la découverte d’un bug dans la blockchain Evmos (EVMOS) qui aurait pu s’avérer catastrophique pour ses opérations. Ses efforts ont été récompensés par le réseau Cosmos avec un paiement de 150 000 $ pour avoir identifié cette vulnérabilité critique.
La chasse aux bugs : une pratique essentielle
Le chercheur a découvert le bug en participant au programme de prime aux bugs d’Evmos sur la plateforme Immunefi, actif depuis novembre 2022. Une prime aux bugs crypto offre des incitations aux développeurs et aux chercheurs pour aider à identifier les bugs et les vulnérabilités au sein d’un système. Cette pratique est devenue cruciale pour maintenir la sécurité et l’intégrité des projets blockchain.
La documentation : clé de la détection
Dans son article de blog, le chercheur a expliqué qu’il était tombé sur le concept de “comptes de module” en examinant la documentation Cosmos, décrivant cet examen comme “la première étape” pour identifier les problèmes potentiels, car la documentation fournit “la base” pour comprendre une blockchain.
– Documentation EvmosEn général, ces adresses sont des comptes de module. Si ces adresses reçoivent des fonds en dehors des règles attendues de la machine d’état, il est probable que des invariants soient rompus et puissent entraîner un arrêt du réseau.
Selon jayjonah.eth, cette clause indiquait que si les utilisateurs envoyaient des fonds aux comptes de module, cela pourrait faire planter la blockchain. Il a ensuite testé cela en envoyant des fonds aux comptes de module.
Conséquences du bug :
- Plus aucun bloc produit
- Chaîne complètement à l’arrêt
- Blocage de la blockchain Evmos
- Paralysie de toutes les DApps construites dessus
Un bug “low-hanging fruit”
Après avoir signalé ses découvertes à l’équipe Evmos, le chercheur a reçu 150 000 $, le prix le plus élevé décerné pour un bug de niveau “critique”. Il a souligné que le bug était un “fruit à portée de main” – simple mais facile à négliger.
– jayjonah.ethCe bug m’a appris quelques choses importantes en tant que chercheur en sécurité. La première, et la plus évidente, est de toujours lire attentivement la documentation du projet que vous examinez.
Les bug bounties : une pratique répandue
D’autres projets sont également connus pour lancer des programmes de primes aux bugs afin d’aider à détecter les menaces cachées dans leurs systèmes. En août dernier, Layer3, un projet de couche d’attention décentralisée, a lancé un programme de prime aux bugs en partenariat avec HackenProof. La prime aux bugs offre une récompense allant jusqu’à 500 000 $.
En juillet, Immunefi a collaboré avec l’Ethereum Foundation pour lancer “Attackathon”, un concours d’audit conçu pour défier et améliorer la sécurité du réseau Ethereum.
Sécurité : l’affaire de tous dans l’écosystème
Cette découverte souligne l’importance cruciale des programmes de bug bounty et de l’implication de la communauté des chercheurs en sécurité pour identifier les failles potentielles dans les projets blockchain. La sécurité est l’affaire de tous dans cet écosystème en constante évolution, et chaque contribution compte pour construire un avenir plus sûr pour les technologies décentralisées.
Reste à savoir si d’autres vulnérabilités critiques de ce type se cachent encore dans le code d’Evmos ou d’autres blockchains. Une chose est sûre : les yeux experts des chasseurs de bugs continueront de scruter attentivement chaque ligne pour débusquer la moindre faille, pour le plus grand bénéfice de tout l’écosystème crypto.
