La blockchain EOS a longtemps porté une promesse technique ambitieuse : dépasser Ethereum en scalabilité avec des milliers de transactions par seconde. Mais son architecture atypique, reposant sur seulement 21 producteurs de blocs élus, a exposé le réseau à des critiques durables sur sa centralisation. Et, plus concrètement, à une série de piratages qui ont régulièrement marqué son écosystème.

En bref

  • EOS repose sur un mécanisme Delegated Proof of Stake (DPoS) avec seulement 21 noeuds producteurs de blocs
  • L’ICO d’EOS avait levé plus de 4 milliards de dollars, l’une des plus importantes de l’histoire crypto
  • Plusieurs hacks ont ciblé les dApps de jeux d’argent sur EOS entre 2018 et 2019, exploitant des failles dans les smart contracts
  • Un hacker éthique avait identifié 12 failles critiques dès juin 2018, récompensé par Block.one
  • La centralisation du réseau est à la fois un atout (performance) et une vulnérabilité (surface d’attaque concentrée)
Juin 2018 12 failles (White Hat) Oct. 2018 338K$ volés dApp Fév. 2019 8M EOS via noeud Sep. 2019 110K$ EOSPlay Chronologie des incidents de sécurité EOS – CryptoActu
Chronologie des principaux incidents de sécurité ayant affecté l'écosystème EOS entre juin 2018 et septembre 2019.

Quelle est l’architecture d’EOS et pourquoi la centralisation pose-t-elle problème ?

EOS utilise un mécanisme de Delegated Proof of Stake (DPoS) dans lequel seulement 21 “Block Producers” sont autorisés à valider les transactions et produire des blocs. Ces producteurs sont élus par les détenteurs de tokens EOS via un système de vote. L’objectif de cette architecture est de maximiser la performance : avec 21 noeuds seulement, la coordination est rapide et le débit théorique très élevé.

Mais cette concentration génère une surface d’attaque beaucoup plus ciblée qu’un réseau comme Bitcoin qui compte des milliers de noeuds. Si un producteur de blocs est compromis ou agit de manière malveillante, l’impact potentiel sur le réseau est significatif. Selon Messari, cette tension entre performance et décentralisation est l’un des débats structurels de l’écosystème EOS depuis son lancement.

La centralisation a également des implications sur la résistance à la censure : 21 acteurs peuvent théoriquement se coordonner pour exclure certaines transactions, ce qui contredit les principes fondamentaux d’une blockchain publique.

[INTERNAL-LINK: Delegated Proof of Stake → comparatif des mécanismes de consensus blockchain]

Quels sont les hacks qui ont marqué l’écosystème EOS ?

L’historique des incidents de sécurité sur EOS est dense pour un projet aussi récent à l’époque. Voici les principaux incidents documentés.

En juin 2018, quelques semaines après le lancement officiel du mainnet, un hacker éthique (White Hat) a identifié et signalé 12 failles critiques dans les contrats EOS. Block.one, l’organisation derrière EOS, l’a récompensé via son programme de bug bounty. Cet incident a révélé dès le départ la fragilité du code.

En octobre 2018, une dApp de jeux d’argent sur EOS a été piratée, entraînant la perte de 338 000 dollars. L’attaque exploitait des failles dans les smart contracts des applications décentralisées, qui s’avéraient particulièrement vulnérables aux manipulations de la génération de nombres aléatoires.

En février 2019, un attaquant a exploité la défaillance d’un des 21 noeuds du réseau pour accumuler rapidement environ 8 millions de tokens EOS (équivalent à plusieurs dizaines de millions de dollars au cours de l’époque). Cet incident a particulièrement marqué les esprits car il touchait directement l’infrastructure centrale du réseau.

[ORIGINAL DATA] La concentration sur des applications de jeux d’argent (gambling dApps) dans les hacks EOS de 2018-2019 n’est pas un hasard. Ces dApps étaient les premières à générer un volume de transactions significatif sur EOS, ce qui en faisait des cibles prioritaires. Un schéma similaire s’est reproduit sur d’autres blockchains L1 émergentes qui ont attiré les gambling dApps comme premiers cas d’usage.

Comment le hack de l’EOSPlay de septembre 2019 a-t-il fonctionné ?

L’incident de septembre 2019 impliquait deux services EOS : EOSPlay (une dApp de jeux) et EOSRex (un service de prêt de tokens EOS contre de la puissance CPU sur le réseau). L’attaquant a utilisé EOSRex pour emprunter des ressources CPU, puis a manipulé les conditions de gain sur EOSPlay.

Concrètement, le pirate a misé 1 200 dollars de tokens sur les jeux d’EOSPlay et a réussi à gagner systématiquement, accumulant jusqu’à 30 000 dollars de bénéfices. La faille exploitée tenait à la prévisibilité du mécanisme de génération des résultats de jeu, qui pouvait être influencé via la manipulation des ressources CPU.

Daniel Larimer, fondateur de Bitshares et co-fondateur d’EOS, a réagi publiquement en précisant que le réseau lui-même fonctionnait correctement et que les holders de tokens EOS n’étaient pas impactés directement. La faille était au niveau applicatif, pas au niveau du protocole.

[UNIQUE INSIGHT] La distinction entre faille protocolaire et faille applicative est fondamentale en sécurité blockchain. La plupart des hacks sur EOS ciblaient les dApps, pas le protocole central. Cela ne dédouane pas EOS, car un écosystème d’applications vulnérables nuit à la confiance générale. Mais cela illustre que la sécurité d’une blockchain ne se mesure pas seulement au protocole, mais aussi à la qualité des outils de développement qu’elle fournit.

Quelles leçons tirer des failles EOS pour l’ensemble de l’écosystème ?

Les incidents EOS ont contribué à sensibiliser l’industrie sur plusieurs points importants. D’abord, la nécessité d’audits de sécurité rigoureux pour tout smart contract avant déploiement. Ensuite, les risques spécifiques liés aux dApps de jeux d’argent qui manipulent des fonds importants avec des mécanismes de génération de nombres aléatoires souvent exploitables.

Selon Chainalysis, les hacks de protocoles DeFi et de dApps représentaient encore plusieurs milliards de dollars de pertes annuelles en 2023, montrant que les problèmes identifiés sur EOS à l’époque restent d’actualité pour l’ensemble de l’industrie. La sécurité des smart contracts est devenue un secteur professionnel à part entière, avec des entreprises spécialisées dans les audits (Trail of Bits, OpenZeppelin, Certik).

[INTERNAL-LINK: sécurité smart contracts → guide des audits et bonnes pratiques pour les dApps]

Questions fréquentes

EOS est-il toujours actif et sécurisé ?

EOS existe toujours et son réseau continue de fonctionner. Le projet a connu une transition importante avec la séparation entre Block.one (l’équipe fondatrice) et la communauté EOS, qui a pris le contrôle du réseau via ses producteurs de blocs. Des efforts ont été faits pour améliorer la sécurité des dApps via des standards de développement plus stricts. Cependant, l’écosystème EOS a perdu une grande partie de son activité au profit d’autres blockchains L1.

En quoi le Delegated Proof of Stake d’EOS diffère-t-il du Proof of Stake d’Ethereum ?

Dans le DPoS d’EOS, seuls 21 producteurs de blocs élus valident les transactions. Dans le PoS d’Ethereum, des centaines de milliers de validateurs participent à la sécurité du réseau. Cette différence de taille explique pourquoi Ethereum est considéré comme plus décentralisé et résistant à la censure, au prix d’une performance brute inférieure. Les 21 producteurs d’EOS constituent une concentration de pouvoir sans équivalent dans les grandes blockchains publiques.

Les dApps sur EOS sont-elles toujours vulnérables aux mêmes types d’attaques ?

Les failles spécifiques exploitées sur EOS en 2018-2019 ont été largement documentées et corrigées depuis. Mais de nouvelles vulnérabilités émergent régulièrement dans l’ensemble de l’écosystème blockchain. Selon Chainalysis, les pertes liées aux hacks de smart contracts restaient significatives en 2023. L’audit indépendant du code avant déploiement reste la meilleure protection disponible pour tout projet Web3.

[INTERNAL-LINK: les plus grands hacks crypto → chronologie des piratages majeurs de l’écosystème]

Sources

Nous ajouter à vos sources préférées sur Google