Le protocole Li Finance (LiFi) est la dernière plate-forme de financement décentralisé (DeFi) à être victime de pirates. Une faille dans le contrat intelligent pré-échange de pont de LI.FI a été exploitée par l'acteur voyou, lui permettant de voler des quantités variables d'USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT et DAI totalisant 600 29 $ de 21 portefeuilles, selon un article de blog du 2022 mars XNUMX.
Le protocole LI.FI subit un braquage de 600 XNUMX $
LI.Fi, un protocole d'agrégation de ponts avec une connectivité d'échange décentralisé (DEX), des capacités de messagerie de données inter-chaînes, et plus encore, a subi une attaque majeure, offrant 600,000 XNUMX $ d'actifs numériques au pirate.
Selon un article de blog de l'équipe LI.FI, un attaquant a exploité une vulnérabilité dans la fonction d'échange du contrat intelligent LI FI à exactement 2 h 51 + UTC. L'équipe affirme que le pirate a réussi à obtenir un contrôle total sur sa fonction d'échange de pré-pont et a pu passer des appels de contrat intelligents qui ont transféré les jetons dans les portefeuilles des utilisateurs vers le sien, sur la base des contrats de jetons que les utilisateurs avaient précédemment donnés à des approbations infinies.
LI.FI a écrit :
« Le 20 mars 2022, un attaquant a exploité le contrat intelligent de LI.FI, en particulier notre fonction d'échange qui nous permet d'effectuer des échanges avant le pontage. Au lieu d'échanger réellement, ils ont pu appeler des contrats symboliques directement dans le contexte de notre contrat. À la suite de l'exploit, quiconque a donné son approbation infinie à notre contrat était vulnérable »,
En une seule transaction, l'équipe affirme que l'attaquant a pu voler des quantités variables d'USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO) Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), Aave (AAVE), Jarvis Network (JRT) et Dai (DAI).
Après l'exploit réussi, l'attaquant a échangé les jetons contre de l'éther (ETH), mais n'a pas encore blanchi les fonds volés au moment de la rédaction. LI.FI a contacté le pirate et attend une réponse.
« Exploiteur de LI.FI, nous apprécions que vous ayez souligné la vulnérabilité de nos contrats. Nous aimerions discuter du retour des fonds des utilisateurs et d'une prime potentielle : [email protected]», a écrit l’équipe.
LI.FI rembourse les utilisateurs
Fait important, sur les 29 portefeuilles touchés par le braquage, Li Finance affirme en avoir remboursé 25 (86 %), pour un montant total de 80 517 $, et discute avec les propriétaires des quatre portefeuilles restants (taille théorique ~ XNUMX $ k) transformer les fonds perdus en un investissement providentiel dans le projet, afin de réduire les dommages à la trésorerie de LI FI.
L'équipe LI FI dit qu'elle a maintenant localisé et corrigé la vulnérabilité dans ses contrats intelligents, et regrette de ne pas avoir pris le temps d'auditer en profondeur la plate-forme avant de la mettre en ligne.
« En ne terminant pas un audit plus tôt, nous avons manqué à notre devoir d'offrir la meilleure sécurité possible. Notre mission est de maximiser l'UX, et maintenant nous avons douloureusement appris que nos mesures de sécurité doivent considérablement s'améliorer pour suivre cette philosophie », a déclaré LI.FI.
Dans l'actualité, le 15 mars 2022, rapports est apparu que le protocole DeFi Deus Finance avait subi une attaque de prêt flash qui a permis aux pirates de voler plus de 3 millions de dollars en crypto. Et le 18 mars, crypto.nouvelles a rapporté qu'Agave et Hundred Finance avaient perdu 11 millions de dollars à cause de pirates via un exploit de bogue de réentrance.
Source : https://crypto.news/li-finance-defi-protocol-600k-reimburse/