Suite à l'exploitation de 11,6 millions de dollars du protocole Li.Fi, une API utilisée pour relier et échanger des actifs numériques entre blockchains, l'équipe Li.Fi a publié une mise à jour décrivant les détails techniques de la violation.

Selon la mise à jour de sécurité, le déploiement d'une nouvelle facette de contrat intelligent était le point de départ de l'attaque malveillante. Une vulnérabilité dans le code permettait aux utilisateurs appelant le contrat intelligent de lancer des appels vers n'importe quel contrat sans validation préalable.

Cette fonction est le résultat d'un code extrait de la bibliothèque LibSwap, utilisé pour faciliter les appels entre les échanges décentralisés, les fournisseurs de services et les clients afin de coordonner les processus de pontage et d'échange d'actifs.

Normalement, ces appels sont filtrés par rapport aux adresses sur liste blanche pour garantir la validation. Cependant, Li.Fi a expliqué que l'erreur humaine lors du déploiement de la facette du contrat intelligent incriminée était à l'origine de la vulnérabilité exploitée par l'acteur malveillant.

L'équipe Li.Fi a confirmé que l'attaque s'est produite sur les réseaux Ethereum et Arbitrum et a affecté 156 portefeuilles avec l'option « approbations infinies » activée. Les utilisateurs pour lesquels cette option n'était pas activée n'étaient pas affectés par l'exploit.

Dans des déclarations à Cointelegraph, les porte-parole de Li.Fi ont déclaré avoir maîtrisé l'exploit, corrigé la vulnérabilité critique et contacté les autorités chargées de l'application de la loi pour retrouver les fonds volés. Au moment d’écrire ces lignes, le problème a été résolu et Li.Fi fonctionne normalement.

En relation : Lazarus transfère des millions de dollars du piratage Bitcoin DMM de 305 millions de dollars – ZachXBT

Pas la première fois

En mars 2022, Li.Fi a été touché par un exploit similaire affectant les utilisateurs avec l'option « approbation infinie » activée. Les pirates ont détourné 600 000 $ du protocole sur 29 portefeuilles avant que la vulnérabilité ne soit corrigée.

Le protocole n'a pas tardé à rembourser les investisseurs pour leurs pertes, en remboursant 24 portefeuilles directement à partir de sa trésorerie et en offrant aux cinq portefeuilles restants un plan de compensation volontaire semblable à celui reçu par les premiers investisseurs providentiels de Li.Fi.

Les piratages cryptographiques mettent un frein à l’industrie en 2024

Malheureusement, les piratages et les exploits continuent de nuire au secteur de la cryptographie et au secteur financier décentralisé en particulier.

Selon un récent rapport de la société de sécurité Cyvers, les pertes dues aux exploits cryptographiques en 2024 approchent 1,4 milliard de dollars, principalement dues aux attaques de phishing, et ont fortement augmenté depuis 2023.

Magazine : Les meilleurs et les pires pays en matière de taxes sur les cryptomonnaies – ainsi que des conseils fiscaux sur les cryptomonnaies