Les développeurs du client Ethereum Geth demandent à tous les utilisateurs de mettre immédiatement à jour la version corrigée v1.10.8 appelée “Hades Gamma” en raison d’une faille de sécurité. Il s’agit d’une vulnérabilité sérieuse dans la machine virtuelle Ethereum de Geth (CVE-2021-39137). Si elle est exploitée, elle peut conduire à ce qu’un nœud exécutant Geth ne soit plus en mesure de traiter la blockchain Ethereum.
D’autres détails sur la vulnérabilité seront divulgués à une date ultérieure, selon une déclaration faite mardi. Cela devrait donner aux opérateurs de nœuds et aux projets dépendant du logiciel suffisamment de temps pour se mettre à jour. Sont vulnérables toutes les versions de Geth qui supportent le hard fork appelé “London” mis en place début août, qui a notamment modifié les frais de transaction sur Ethereum. Cependant, le bug est beaucoup plus ancien, donc tous les utilisateurs de Geth doivent absolument mettre à jour. La vulnérabilité a été découverte par le chercheur en sécurité Guido Vranken.
Chainsplit avec le dernier hotfix
Geth, ou Go-Ethereum, est l’implémentation d’un client pour le réseau Ethereum écrit dans le langage Go. En tant qu’outil en ligne de commande, l’application s’adresse principalement aux utilisateurs et aux développeurs avancés – et jouit d’une grande popularité parmi eux. Selon le service d’analyse Ethernodes.org, environ 75 % de tous les nœuds du réseau Ethereum sont exploités via Geth. Par conséquent, il est important pour l’intégrité de la blockchain Ethereum que les utilisateurs de Geth aient un niveau de logiciel uniforme.
En novembre 2020, une telle action de mise à jour pour Geth a mal tourné : les développeurs de Geth avaient soumis une nouvelle version avec un correctif pour un bogue sans le signaler ni en avertir. Comme tous les opérateurs de nœuds ne sont pas passés à la nouvelle version, la blockchain Ethereum s’est brièvement divisée, séparant les anciennes versions de Geth des autres. Cela a notamment affecté le fournisseur de services d’infrastructure Infura, qui exploite des nœuds Ethereum en tant que service pour de nombreux autres projets, tels que ceux de l’écosystème de la finance décentralisée (DeFi).
“Avec notre dernier correctif, les gens étaient mécontents que nous ne l’ayons pas annoncé. Cette fois, nous le faisons différemment”, a expliqué Péter Szilágyi, développeur d’Ethereum, sur Twitter. “Voyons ce qui fonctionne le mieux”.