EthereumReport #3
EthereumReport c’est :
Une newsletter hebdomadaire dédiée à Ethereum.
Un recap’ de l’actualité de l'écosystème.
Une explication illustrée.
La découverte d’un média à creuser.
Tout ça en francais et dans votre boite mail chaque mardi !
Le récap d’EthereumReport
Bonjour à tous et bienvenus dans cette troisième publication d’EthereumReport.
Petite nouvelle lié à la newsletter, j’ai dédié un compte Twitter aux reports, hésitez donc pas à suivre juste ici : OnChainReport.
Dans cette édition, c’est principalement une nouvelle attaque réussie dans l'écosystème de la DeFi qui animera les débats. Je vous expliquerais le fonctionnement de ces attaques de manière plus précise dans l’explication de la semaine. Mais c’est également le bon moyen pour discuter de la gestion des risques dans cet écosystème. C’est ce que proposera l’équipe de DeFi France pour son meetups (virtuel évidemment) de ce jeudi 23 avril. Vous retrouverez toutes les informations nécessaires en deuxième partie de cette newsletter.
La semaine passée de l'écosystème
Coté Ethereum :
Suivez la dernière discussion des core développeurs d’Ethereum. Au programme des discussions autour des EIPs sélectionnés pour le prochain Hard-Fork, Berlin (prévu juin 2020). 📃
Suivez Ethereum 2.0 :
L'Équipe de Prysmatic lancent le réseau de test Topaz, prévu pour des tests d’interactions de clients ETH2.0 différents. ⛓
La dernière édition de “What’s new in ETH2”. 📰
Discussions des cores dev ETH2.0 autour des standards d’API. 📃
Sécurité et attaques sur des ERC-777:
L'équipe de Curve ont trouvés une vulnérabilité sur le code de leur sUSD. Aucune perte à déclarer. 🔨
Deux attaques sur des ERC-777 cette semaine. Les attaquants ont pu siphonner les liquidités disponibles sur une pool d’Uniswap et sur la plateforme Lendf.Me. J’en parle plus en détails dans la suite de cette publication. 👨💻
Questions de gouvernance et de DAO :
Lancement de la gouvernance décentralisé de Compound. 🗣
Des nouvelles de l'écosystème :
Rapports quadrimestriel des équipes de l’Ethereum Fondation. 📃
“Que manque-t-il pour remplacer WeChat version web3.0 ?”. WeChat étant une application mobile extrêmement populaire en Chine, permettant des discussions textuelles, mais également des applications et des systèmes de payements. 👨💻
Vos Dapps favorites :
RocketDAO permet des emprunt garantis par des noms de domaines ENS. 🚀
L’explication : Les attaques dites de “re-entrance”
La semaine passée fut donc animé par de nouvelles attaques sur des services liés à la finance décentralisée Ethereum. Effectués sur des ERC-777, ces attaques dites "re-entrancy" ne sont pas vraiment novatrices. En effet pour le cas particulier d'Uniswap, la faille avait été mise en valeur par Consensys l'année passée, mais c'était également l'un des types d'attaques utilisés lors du fameux "TheDAO hack". Mais à quoi correspondent donc ces attaques ? Nous allons voir plus en détail leur fonctionnement.
Le concept principal de ces attaques n'est pas spécifique à Ethereum, si aux cryptomonnaies en général. Il s'agit du faille logique laissée dans un système informatique, permettant à un utilisateur d'exécuter une fonction ou un service, l'interrompre, et enfin la relancer une seconde fois. En cas de faille, les deux exécutions seront considérées comme valides et passeront les vérifications. Si il s'agit d'envois de mails ou de calculs, cela ne pose que peu de problème. Mais dans le cadre d'Ethereum et de ses tokens, cela peut porter rapidement préjudice.
C'est le cas récemment pour plusieurs projets de l'écosystème reposant principalement sur l'ERC777, un standard connu pour être moins sécurisé que les traditionnels ERC20, mais plus complet dans ses possibilités. Ce 18 avril donc, c'est la plateforme Uniswap qui en a fait les frais. L'attaquant a utilisé une faille de type "re-entry" pour mettre en place des opérations normalement impossible. Plus précisément dans ce cas, il a pu siphonner la pool de liquidité ETH-imBTC d'Uniswap. Sois environ 1 280 ethers, les perdants étant les fournisseurs de liquidités. Mais il a également attaqué la logique de la plateforme Lendf.Me, afin d'emprunter sans réel garanti de nombreux tokens pour une valeur de plus de 25 millions de dollars aux utilisateurs de dForce.
Le média de la semaine : Le meetup DeFiFrance du jeudi 23 avril
Cette semaine pas de vidéo mais un événement en ligne, proposé par les très actifs membre de DeFi France. Voici le sommaire de ce jeudi :
💬 COMMENT PRENDRE ET COMMUNIQUER LA MESURE DU RISQUE DANS LE DEFI ? 🔮
On attaquera donc des questions critiques et fondamentales telles que :
- Comment comprendre et identifier les différents types de risque auquel on s'expose en utilisant un service DeFi donné ?
- Pourquoi et comment se protéger contre ces risques ?
- Quand le risque se matérialise : quel recours ?
- (Services) Comment communiquer le risque à l'utilisateur final ?
Le meetup sera animé par :
Clément Laesage de Kleros
Marc Zeller d’Aave
Jimmy Ragosa de ConsenSys
Marouane Haiji dUnslashed
Et toute l’équipe derrière DeF France
Le mot de la fin
Merci à tous d’avoir lu cette publication jusqu’à sa fin, en espérant que vous ayez appréciés la lecture. EthereumReport c’est avant tout une publication communautaire, n'hésitez pas à apporter vos suggestions et proposition de contenus ! En attend vos retours, je vous souhaite une très bonne semaine.
Si vous souhaitez aider EthereumReport, le meilleur moyen est de partager cette publication au monde !
A mardi prochain,
Guillaume.