Un contrat moins intelligent que prévu – Ce dimanche 20 mars 2022, une trentaine d’utilisateurs du protocole Li Finance ont vu leurs fonds intégralement siphonnés. En exploitant un bug présent dans le code du contrat intelligent de Li.Finance, le hacker est parvenu à dérober près de 600 000$. Li Finance s’excuse et s’explique.
Une vulnérabilité dans l’approbation infinie de Li Finance
Une seule transaction aura permis au pirate d’atteindre son objectif et de s’emparer de près de 600 000$. L’agrégateur de swaps Li.Fi a expliqué que l’attaquant a profité d’une faille présente dans le code de la fonctionnalité d’approbation infinie. Cette fonction permet aux utilisateurs une optimisation et une simplification des échanges : une unique approbation permet un nombre illimité d’échanges.
Ainsi, de nombreux tokens –USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT et DAI– d’une valeur totale de 587 500$ ont été siphonnés de 29 portefeuilles. Le pirate a rapidement échangé son butin contre 205 ETH, toujours présents sur l’adresse initiale.
Li Finance publie son mea-culpa
Quand les équipes de Li Finance ont réalisé ce qu’il s’était passé, il était bien évidemment trop tard. Après une analyse précise de la situation, la vulnérabilité a été repérée et une correction adéquate a pu être mise en place. Li Finance déclare avoir indemnisé au plus vite 26 des 29 portefeuilles concernés, représentant 200 000$. Des négociations sont en cours quant à l’indemnisation des trois derniers portefeuilles. En effet, à eux seuls ces derniers portefeuilles sont valorisés à environ 400 000$, ce qui selon Li Finance causerait de gros dégâts à la trésorerie de la société. Ainsi, il a été proposé de transformer les fonds perdus en un « investissement providentiel » qui permettrait aux victimes de devenir des acteurs actifs de la structure.
Enfin, Li Finance annonce avoir contacté le pirate afin de discuter d’un potentiel arrangement, mais il semblerait que le silence radio persiste :
« Nous avons contacté l’attaquant et nous n’avons reçu aucune réponse au moment de la rédaction de ce post mortem. Si vous lisez ceci, nous serions extrêmement reconnaissants de fournir une généreuse prime et nous nous obligerions à ne divulguer aucune information sur votre identité. »
blog.li.finance
Cet énième hack dans le monde de la finance décentralisée nous rappelle qu’il est capital de garder l’œil grand ouvert lorsque l’on autorise une quelconque transaction. Si la fonction d’approbation infinie semble avoir quelques avantages, il paraît –après coup– que le jeu n’en vaut pas forcément la chandelle.
Les hacks sont des aléas malheureux, mais pas une fatalité. Besoin de tranquillité d’esprit pour vos cryptos ? Inscrivez-vous vite sur la plateforme Binance, LA référence absolue du secteur, et économisez 10% sur vos frais de trading en suivant ce lien (lien commercial).
