LI.FI Protocol ztrácí 10 milionů $ při druhém hacku kvůli stejné staré chybě

Cryptopolitan · 2024-07-16T17:53:01.000Z

Meziřetězový obchodní protokol LI.FI byl zasažen „útokem injekce volání“, oznámila v úterý bezpečnostní platforma Beosin Alert. Z protokolu bylo ukradeno asi 10 milionů dolarů v krypto aktivech, včetně 6,3 milionů USDT, 3,2 milionů USDC a 169 tisíc DAI. Čtěte také: Kraken odhalil chybu, která umožnila nepoctivým „bezpečnostním výzkumníkům“ zneužít 3 miliony dolarů Spoluzakladatel LI.FI Philipp Zentner potvrdil incident na X (dříve Twitter) a poznamenal, že postiženi byli pouze uživatelé, kteří ručně nastavili „nekonečná schválení“. „Prosím, zatím neinteragujte s žádnými aplikacemi poháněnými LI.FI. Vyšetřujeme potenciální zneužití,“ napsal Zentner.

Le protocole de trading inter-chaînes LI.FI a été touché par « une attaque par injection d’appels », a rapporté mardi la plateforme de sécurité Beosin Alert. Environ 10 millions de dollars d'actifs cryptographiques, dont 6,3 millions USDT, 3,2 millions USDC et 169 000 DAI, ont été volés dans le protocole. 
A lire aussi : Kraken révèle qu’un bug a permis à des « chercheurs en sécurité » malveillants d’exploiter 3 millions de dollars
Le cofondateur de LI.FI, Philipp Zentner, a confirmé l'incident sur X (anciennement Twitter), notant que seuls les utilisateurs ayant défini manuellement des « approbations infinies » étaient concernés. « Veuillez ne pas interagir avec les applications alimentées par LI.FI pour le moment. Nous enquêtons sur un exploit potentiel », a écrit Zentner. 
LI.FI aurait été piraté via le même vieux bug
La vulnérabilité a été attribuée à la fonction « depositToGasZipERC20() » du contrat LI.FI. Selon l’analyse de Beosin, la fonction peut échanger des jetons spécifiés contre des jetons de plateforme et les déposer dans le contrat GasZip, mais elle ne parvient pas à restreindre les données pour l’appel, ce qui permet à l’attaquant de retirer des actifs aux utilisateurs qui ont approuvé le contrat.
Par ailleurs, une autre plateforme de sécurité, Peckshield, a signalé que LI.FI avait également été exploité il y a deux ans en raison de la même vulnérabilité. « En analysant le piratage du protocole LI.FI d’aujourd’hui, nous avons remarqué un piratage antérieur sur le même protocole le 20 mars 2022 », a publié Peckshield sur X. « Le bug est fondamentalement le même. »
En analysant le piratage @lifiprotocol d'aujourd'hui, nous remarquons un piratage antérieur sur le même protocole le 20 mars 2022.
Le bug est fondamentalement le même. https://t.co/YcuEe4efOT
Avons-nous appris quelque chose des leçons du passé ? https://t.co/nV4IuX7T7j pic.twitter.com/aVB6FQ3MnT
— PeckShield Inc. (@peckshield) 16 juillet 2024
Lors du piratage du protocole LI.FI en 2022, environ 600 000 $ d'actifs ont été volés et drainés du protocole, avec 29 portefeuilles affectés. L'équipe a déclaré dans un rapport d'autopsie que le bug a été corrigé et que tous les utilisateurs concernés ont été remboursés.
À lire aussi : Près de 1,4 milliard de dollars de crypto-monnaies volées à ce jour en 2024
Jusqu'à présent, il n'y a pas de discussions sur le remboursement des utilisateurs touchés par le dernier piratage, du moins au moment de la rédaction de cet article. Cependant, LI.FI a indiqué qu'ils enquêtaient sur l'exploit et ont conseillé aux utilisateurs de ne pas interagir avec les applications alimentées par LI.FI en attendant.
L'incident d'aujourd'hui survient un peu plus d'un an après que LI.FI a levé 17,5 millions de dollars lors d'un tour de financement de série A pour permettre aux utilisateurs de DeFi de faire du trading sur différentes blockchains, plateformes et ponts. Il affirme avoir facilité un volume de transfert total de plus de 10 milliards de dollars.

Découvrez-en plus sur le créateur

Dernières actualités