Li Finance : un hacker exploite une faille et dérobe 600 000$

Un contrat moins intelligent que prévu – Ce dimanche 20 mars 2022, une trentaine d’utilisateurs du protocole Li Finance ont vu leurs fonds intégralement siphonnés. En exploitant un bug présent dans le code du contrat intelligent de Li.Finance, le hacker est parvenu à dérober près de 600 000$. Li Finance s’excuse et s’explique.

Une vulnérabilité dans l’approbation infinie de Li Finance

Une seule transaction aura permis au pirate d’atteindre son objectif et de s’emparer de près de 600 000$. L’agrégateur de swaps Li.Fi a expliqué que l’attaquant a profité d’une faille présente dans le code de la fonctionnalité d’approbation infinie. Cette fonction permet aux utilisateurs une optimisation et une simplification des échanges : une unique approbation permet un nombre illimité d’échanges.

Explication précise sur la manière dont s'y est pris le pirate pour hack Li Finance.
twitter @danielvf

Ainsi, de nombreux tokens –USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT et DAI– d’une valeur totale de 587 500$ ont été siphonnés de 29 portefeuilles. Le pirate a rapidement échangé son butin contre 205 ETH, toujours présents sur l’adresse initiale.

Adresse du pirate sur laquelle sont stockés les fonds volés.

>> Votre cœur bat pour Ethereum ? Inscrivez-vous sur Binance et économisez 10% de frais (lien commercial) <<

Li Finance publie son mea-culpa

Quand les équipes de Li Finance ont réalisé ce qu’il s’était passé, il était bien évidemment trop tard. Après une analyse précise de la situation, la vulnérabilité a été repérée et une correction adéquate a pu être mise en place. Li Finance déclare avoir indemnisé au plus vite 26 des 29 portefeuilles concernés, représentant 200 000$. Des négociations sont en cours quant à l’indemnisation des trois derniers portefeuilles. En effet, à eux seuls ces derniers portefeuilles sont valorisés à environ 400 000$, ce qui selon Li Finance causerait de gros dégâts à la trésorerie de la société. Ainsi, il a été proposé de transformer les fonds perdus en un « investissement providentiel » qui permettrait aux victimes de devenir des acteurs actifs de la structure.

Message s'adressant aux victimes, demandant une prise de contact avec Li Finance suite au hack.

Enfin, Li Finance annonce avoir contacté le pirate afin de discuter d’un potentiel arrangement, mais il semblerait que le silence radio persiste :

« Nous avons contacté l’attaquant et nous n’avons reçu aucune réponse au moment de la rédaction de ce post mortem. Si vous lisez ceci, nous serions extrêmement reconnaissants de fournir une généreuse prime et nous nous obligerions à ne divulguer aucune information sur votre identité. »

blog.li.finance

Cet énième hack dans le monde de la finance décentralisée nous rappelle qu’il est capital de garder l’œil grand ouvert lorsque l’on autorise une quelconque transaction. Si la fonction d’approbation infinie semble avoir quelques avantages, il paraît –après coup– que le jeu n’en vaut pas forcément la chandelle.

Les hacks sont des aléas malheureux, mais pas une fatalité. Besoin de tranquillité d’esprit pour vos cryptos ? Inscrivez-vous vite sur la plateforme Binance, LA référence absolue du secteur, et économisez 10% sur vos frais de trading en suivant ce lien (lien commercial).

CryptoCocotier

Cypherpunk de père en fils, je me passionne aujourd’hui à traiter et vulgariser toute sorte de sujet qui touche de près ou de loin au monde des cryptomonnaies. Dans la vie j’aime mon chat, les Play to Earn et surtout acheter haut pour revendre bas.