- Les développeurs d’Ethereum Core ont accepté d’améliorer le mécanisme de publication des mises à jour.
- L’équipe Optimiste Ethereum a provoqué la défaillance d’Infura en déclenchant une erreur de synchronisation critique sur le client Geth.
Le 11 novembre, un « hard fork » non annoncé par Ethereum a affecté le fonctionnement d’Infura et celui de la plupart des bourses qui s’appuient sur ses services back-end. Bien que le prix d’ETH n’ait pas été affecté et ait atteint un nouveau sommet annuel de 476 dollars le 12 novembre, l’événement a été accueilli avec de vives critiques dans la communauté.
Le développeur en chef de Blockchair, Nikita Zhavoronkov, a offert l’une des premières explications à l’échec et a déclaré que l’événement « ne devait pas être sous-estimé ». Zhavoronkov estime que l’incident est d’une grande importance pour Ethereum et l’un des plus importants auxquels il a été confronté depuis « la débâcle du DAO il y a quatre ans ».
Un rapport de sécurité ultérieur publié sur Twitter par Péter Szilágyi, le développeur principal d’Ethereum, a donné un aperçu plus détaillé du bogue, qui a spécifiquement affecté le client Geth. Selon le rapport, l’équipe Geth a été informée le 24 octobre d’un bogue de déni de service (DoS) trouvé dans la bibliothèque du langage de programmation Go:
Le problème de DoS peut être utilisé pour faire planter tous les nœuds Geth pendant le traitement des blocs, ce qui entraînerait la mise hors ligne d’une grande partie du réseau Ethereum.
Le bogue a été corrigé par une mise à jour, mais les anciennes versions antérieures à Geth 1.9.19 sont restées vulnérables au bogue. Infura et d’autres utilisateurs n’ont pas été avertis et ont continué à utiliser des versions vulnérables du client Geth. Lorsque l’équipe Optimistic Ethereum (OE) a décidé de « tester » un bug qu’elle a trouvé dans la machine virtuelle d’Ethereum le 10 novembre, 30 blocs ont été perdus dans une chaîne de distribution, comme l’a expliqué un membre d’OE:
Je tiens à m’excuser auprès de la communauté pour avoir accidentellement perdu quelques noeuds sur Ethereum la nuit dernière (…) Nous avons décidé de tester le bogue et de voir ce qui se passerait. C’était stupide rétrospectivement – nous n’avons pas vu l’impact des quelques nœuds qui n’ont pas été mis à jour.
Les développeurs d’Ethereum discutent du bogue
Comme mentionné ci-dessus, la hard fork non annoncé a provoqué une grande controverse dans la communauté des crypto-monnaies. Les utilisateurs et les développeurs discutent des responsabilités des deux parties. La question a également été soulevée lors d’un récent appel des principaux développeurs d’Ethereum. Tim Beiko a fait un rapport sur l’appel et a commencé par les commentaires de Szilágyi:
(…) Ce n’est pas la première fois que Geth résout tacitement un problème de consensus. Ils décident de rendre une correction publique, en fonction de la probabilité que quelqu’un tire profit de l’erreur. Dans ce cas, ils ont décidé de garder le secret.
Selon le développeur, l’exploitation de la vulnérabilité aurait été « trop facile » à rendre publique. Cependant, il a convenu qu’après la mise à jour, les développeurs de Geth « auraient dû signaler qu’une version antérieure avait un problème ». L’appel a donc discuté de la possibilité de signaler les problèmes futurs au moins un mois après qu’ils aient été réglés, afin d’apporter une amélioration. A ajouté M. Szilágyi.
Chaque fois qu’ils signalent un bogue, cela représente un risque pour le réseau et pour toute personne qui ne met pas à jour
James Prestwich, pour sa part, a évoqué la possibilité de créer une « liste privée » pour informer les membres de la liste d’erreurs similaires. Cependant, la création d’un tel mécanisme pose plusieurs défis : la centralisation croissante d’Ethereum, la détermination des personnes qui doivent figurer sur la liste et l’octroi d’un « avantage concurrentiel » aux membres ajoutés.
Dans cette optique, M. Szilágyi a maintenu sa position selon laquelle la sécurité d’Ethereum devait être prioritaire. Il a donc demandé à la communauté de faire des suggestions sur la manière d’améliorer la diffusion des mises à jour au public.
