Le protocole LI.FI perd 10 millions de dollars lors d'un second piratage dû à la même ancienne faille de sécurité

Le protocole d'échange inter-chaînes LI.FI a été victime d'une attaque par injection d'appels, a signalé mardi la plateforme de sécurité Beosin Alert. Environ 10 millions de dollars d'actifs cryptographiques, dont 6,3 millions d'USDT, 3,2 millions d'USDC et 169 000 DAI, ont été dérobés au protocole. 

À lire également : Kraken révèle qu’une faille a permis à des « chercheurs en sécurité » malveillants de détourner 3 millions de dollars.

Philipp Zentner, cofondateur de LI.FI, a confirmé l'dent sur X (anciennement Twitter), précisant que seuls les utilisateurs ayant activé manuellement l'option « approbations illimitées » étaient concernés. « Veuillez ne pas utiliser d'applications utilisant LI.FI pour le moment. Nous enquêtons sur une faille de sécurité potentielle », a-t-il écrit. 

LI.FI aurait été piraté via la même vieille faille

La vulnérabilité a été tracdans la fonction « depositToGasZipERC20() » dutracLI.FI. Selon l'analyse de Beosin, cette fonction permet d'échanger des jetons spécifiques contre des jetons de la plateforme et de les déposer dans letracGasZip, mais elle ne restreint pas les données lors de l'appel, ce qui permet à un attaquant de retirer des actifs aux utilisateurs autorisés à utiliser cetrac.

Par ailleurs, la plateforme de sécurité Peckshield a signalé que LI.FI avait également été exploité il y a deux ans en raison de la même vulnérabilité. « En analysant le piratage du protocole LI.FI d'aujourd'hui, nous avons constaté qu'un piratage antérieur du même protocole avait eu lieu le 20 mars 2022 », a indiqué Peckshield sur X. « Le bug est fondamentalement identique. »

En analysant le piratage du protocole @lifiprotocol d'aujourd'hui , nous avons remarqué un piratage antérieur du même protocole le 20 mars 2022.

Le bug est fondamentalement le même. https://t.co/YcuEe4efOT

Tirons-nous des leçons du passé ? https://t.co/nV4IuX7T7j pic.twitter.com/aVB6FQ3MnT

— PeckShield Inc. (@peckshield) 16 juillet 2024

Lors du piratage du protocole LI.FI en 2022, environ 600 000 $ d'actifs ont été dérobés, affectant 29 portefeuilles. L'équipe a indiqué dans un rapport post-mortem que la faille avait été corrigée et que tous les utilisateurs concernés avaient été remboursés. 

À lire également : Près de 1,4 milliard de dollars de vols de cryptomonnaies ont été recensés en 2024 jusqu’à présent.

À l'heure actuelle, aucune discussion n'a eu lieu concernant un éventuel remboursement des utilisateurs touchés par le récent piratage, du moins au moment de la rédaction de cet article. Toutefois, LI.FI a annoncé enquêter sur la faille et a conseillé aux utilisateurs de ne pas interagir avec les applications utilisant sa plateforme entre-temps. 

L'dent d'aujourd'hui survient un peu plus d'un an après que LI.FI a levé 17,5 millions de dollars lors d'un tour de table de série A afin de permettre aux utilisateurs DeFi d'effectuer des transactions sur différentes blockchains, plateformes et ponts. L'entreprise affirme avoir facilité un volume total de transferts de plus de 10 milliards de dollars.