Un acteur malveillant aurait pu mettre hors service l'ensemble du réseau Avalanche pour moins de 200 000 dollars. Une vulnérabilité, corrigée depuis, permettant de détruire la blockchain Avalanche a été révélée.
Péter Szilágyi, développeur d'Ethereum, a publié jeudi un rapport sur la vulnérabilité d'Avalanche, détaillant un bogue critique qu'il a découvert dans le code du réseau Avalanche plus tôt cette année. Dans le rapport daté du 29 mars 2022, Szilágyi a expliqué comment Avalanche était vulnérable à une attaque par l'envoi d'un paquet PeerList malveillant aux nœuds et aux validateurs du réseau.
Hypothétiquement, un attaquant aurait pu démarrer un nouveau nœud de validateur, envoyer des paquets malveillants à d'autres nœuds et validateurs, et faire tomber instantanément l'ensemble du réseau Avalanche. « Étant donné que tous les nœuds du réseau se connectent à tous les validateurs, c'est pratiquement une mort instantanée pour l'ensemble du réseau« , écrit Szilágyi.
Bien qu'une telle attaque aurait coûté 2 000 jetons AVAX pour financer le nouveau nœud de validation, cela aurait été un petit prix à payer pour le chaos potentiel qu'une telle action aurait pu produire. Péter Szilágyi a expliqué qu'un acteur malveillant pourrait facilement récupérer le coût en ouvrant une position courte sur AVAX avant l'attaque, ce qui lui permettrait essentiellement de mettre le réseau hors service sans frais. Lorsque la vulnérabilité a été découverte, 2 000 jetons AVAX auraient pu être achetés pour environ 179 000 dollars. Au même moment, la capitalisation boursière d'Avalanche s'élevait à plus de 24 milliards de dollars.
Comment Péter Szilágyi a découvert la vulnérabilité ? « J'essayais de me faire une idée de la manière dont la [Avalanche] et j'ai trouvé la gestion des paquets un peu particulière à mon goût », a-t-il expliqué. « J'ai donc écrit un fuzzer pour voir si je pouvais l'étouffer. Il a fait boum assez rapidement. » Après avoir découvert le bogue, Szilágyi a contacté l'équipe de développeurs d'Avalanche, qui l'a rapidement corrigé un jour plus tard dans la mise à jour avalanchego v1.7.9.
Avalanche est l'un des nombreux réseaux de couche 1 dont la popularité est montée en flèche pendant le marché haussier de 2021. En réponse à la hausse des frais sur le réseau principal d'Ethereum, les utilisateurs ont afflué vers les réseaux concurrents compatibles avec les contrats intelligents pour participer au DeFi et frapper des NFT pour une fraction de ce qu'il en coûte sur Ethereum. Le jeton AVAX, natif du réseau, a atteint un sommet historique de 144,96 dollars le 21 novembre 2021, après s'être négocié à environ 3,21 dollars au début de l'année. En 2022, son prix a souffert en même temps que le reste du marché des crypto-monnaies en réponse aux hausses de taux d'intérêt de la Réserve fédérale et à la détérioration des conditions macroéconomiques. AVAX se négocie actuellement à environ 18,81 $.
