L’agrégateur de swap Li Finance a connu un exploit de contrat intelligent entraînant la perte d’environ 600 000 $ sur les portefeuilles de 29 utilisateurs.
L’exploit a eu lieu à 2 h 51 UTC le 20 mars. L’attaquant a pu extraire des quantités variables de 10 jetons différents à partir de portefeuilles qui avaient donné une « approbation infinie » au protocole Li Finance. Parmi les jetons volés figuraient USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO), Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), AAVE (AAVE), Jarvis Reward Jeton (JRT) et DAI (DAI).
TLDR :
• ~ 600 000 $ ont été volés dans 29 portefeuilles
• L’utilisateur n’a rien à faire
• Le bogue a été corrigé et est déjà déployéhttps://t.co/fqOxJxDrZs– LI.FI – Échanges quelconques (,) (@lifiprotocol) 21 mars 2022
Quand l’équipe appris à propos de l’exploit 12 heures plus tard à 14h15 UTC, il a arrêté toutes les fonctions d’échange sur la plate-forme afin d’éviter toute perte supplémentaire.
À 2 h 50 UTC le 21 mars, l’équipe avait émis un post mortem détaillant les événements de l’exploit. L’équipe a déclaré que l’attaquant avait échangé les jetons volés contre un total d’environ 205 Ether (ETH) d’une valeur d’environ 600 000 $. Au moment de la rédaction de cet article, l’ETH volé n’avait pas encore été déplacé de l’attaquant portefeuille. LiFi a également assuré aux utilisateurs que le bogue avait été identifié et corrigé.
Le piratage LiFi d’aujourd’hui s’est produit parce que sa fonction interne swap() appelait n’importe quelle adresse en utilisant le message transmis par l’attaquant. Cela a permis à l’attaquant d’avoir le contrat transferFrom() sur les fonds de toute personne ayant approuvé le contrat. pic.twitter.com/NA3xW7ReUd
– Daniel Von Fange (@danielvf) 20 mars 2022
Sur les 29 portefeuilles qui ont été touchés lors de cette attaque, 25 ont été remboursés par des fonds du Trésor pour leurs pertes. Ces 25 portefeuilles ne représentaient que 80 000 $, soit 13 % de la valeur totale perdue. Les propriétaires des quatre portefeuilles restants qui ont perdu un total de 517 000 $ ont été contactés et ont proposé un accord pour les indemniser en honorant leurs pertes en tant qu’investisseurs providentiels dans le protocole.
Ils recevraient des jetons LiFi dans les mêmes conditions que les autres investisseurs providentiels pour un montant égal à leurs pertes de chaque portefeuille. Cela contribuerait également à atténuer les dommages causés à la trésorerie de la plateforme.
Le pirate a également été contacté et a offert une prime de bogue pour restituer les fonds.
L’attaque semble avoir eu lieu à un moment malheureux. Le PDG de Li Finance, Philipp Zentner, a déclaré à Cointelegraph le 21 mars que « nous sommes littéralement à une semaine de notre audit », ajoutant que « nous avons plusieurs entreprises qui nous auditent ».
Cependant, même un audit approfondi du code n’a peut-être pas détecté ce bogue particulier, selon un chercheur « Transmissions11 » de la société d’investissement crypto Paradigm. Il a expliqué dans un 21 mars tweeter que l’erreur dans le code de Li Finance est facile à manquer et « subtile si vous n’êtes pas dans le bon état d’esprit ».
En rapport: ‘Malchanceux:’ Les protocoles Agave et Hundred Finance DeFi exploités pour 11 millions de dollars
Ce dernier piratage dans le secteur de la finance décentralisée (DeFi) montre comment donner des approbations infinies aux contrats intelligents expose les fonds d’un utilisateur à un plus grand risque. Les approbations infinies permettent aux utilisateurs d’échanger des pièces sur un échange décentralisé (DEX) un nombre illimité de fois sans avoir à approuver d’autres transactions.