Dogecoin, un projet de cryptomonnaie avec une capitalisation boursière de plus de 58 milliards de dollars, a récemment été attaqué par un exploit qui a fortement affecté sa structure de nœuds. L'exploit, surnommé « Dogereaper », a permis au développeur de Sequentia, Andreas Kohl, de faire planter 69 % de tous les nœuds Dogecoin en utilisant uniquement un vieil ordinateur portable du Salvador.

L'exploit permet à n'importe quel attaquant d'utiliser le nom de n'importe quel nœud pour le planter à distance.

Le compte « Department Of DOGE Efficiency » sur X a comparé ce comportement à un death note, un carnet fictif qui permet à l’utilisateur d’écrire le nom d’une personne pour la tuer.

Bien que l'attaque ait fortement affecté les nœuds de dogecoin, cela aurait pu être pire : la vulnérabilité avait déjà été divulguée par Tobias Ruck, un développeur d'ecash, et Roqqit, un autre développeur. En s'adressant à news.bitcoin.com, Ruck a déclaré qu'il avait d'abord découvert cette vulnérabilité en développant doged, une alternative à Dogecoin Core. Ruck a expliqué que lors des tests du code porté pour leur logiciel alternatif, il a trouvé une erreur de segmentation qui n'avait pas été corrigée dans le code original.

Il a ensuite confirmé que la vulnérabilité pouvait cibler des nœuds spécifiques et les faire planter à distance et a commencé à planifier la divulgation de cette faille pour résoudre le problème.

Ruck a expliqué :

Nous ne cautionnons pas les plantages de nœuds, nous mettons beaucoup d'efforts à garder le réseau sécurisé. L'attaque aurait pu être beaucoup plus sévère. Tous les acteurs importants comme les mineurs, les échanges, etc. ont été corrigés bien avant l'attaque, et cela montre à quel point il était important d'agir avec prudence.

Dans les mots de Ruck, si la situation avait été gérée différemment, cela aurait pu être bien pire pour le réseau et cela aurait pu être complètement arrêté, affectant l'opérabilité de Dogecoin. Les corrections atténuant ce problème ont été appliquées lors de la dernière mise à jour du logiciel du nœud, et seuls les nœuds obsolètes ont été affectés.

Ruck a conclu :

Compte tenu du faible effort de l'attaquant par rapport au résultat, cela montre encore une fois la gravité.

Des situations comme celle-ci soulignent la pertinence d'une équipe de développeurs maintenant la base de code de chaque projet crypto. En fin de compte, une blockchain est un logiciel, et sa sécurité dépend de savoir si le code est constamment audité ou abandonné.