LI.FI perd environ 9 millions de dollars dans une exploitation

Le protocole blockchain inter-chaînes LI.FI a été exploité, a déclaré l'équipe sur la plateforme de médias sociaux X. L'équipe enquête sur le possible piratage, qui semble n'affecter que les utilisateurs ayant configuré manuellement certaines fonctionnalités.

"Veuillez ne pas interagir avec les applications alimentées par LI.FI pour le moment", a écrit l'équipe LI.FI. "Nous enquêtons sur une potentielle exploitation. Si vous n'avez pas configuré une approbation infinie, vous n'êtes pas à risque."

"[N]ous exhortons tous les utilisateurs à utiliser immédiatement notre site de révocation isolé", a écrit LI.FI, ajoutant que "4 autres violations de sécurité ont été identifiées."

La société de sécurité Decurity a déclaré que la "cause principale" semble être "un appel arbitraire avec des données contrôlées par l'utilisateur" à un contrat de gaz déployé il y a cinq jours pour payer les frais de blockchain sur Ethereum ETH +1,23% .

"Le pirate a conçu un calldata spécial avec des appels transferFrom() et l'a passé comme swapData à depositToGasZipERC20 pour voler des jetons approuvés du pont", ont écrit les chercheurs de Decurity sur X.

L'attaque semble être une version de l'exploitation "call injection" qui permet aux attaquants d'utiliser des paramètres dans le code original pour exécuter des transactions légitimes mais inattendues. Ce type de vulnérabilité aurait causé la perte de centaines de millions de dollars en crypto.

Un portefeuille contenant des fonds drainés contrôle plus de 4 millions de dollars en ETH et près de 200 000 dollars en stablecoins DAI, selon les données de DeFi World . Cependant, ce montant est probablement sous-estimé, car les stablecoins USDT et USDC semblent également quitter la plateforme. La société de sécurité Certik estime les pertes totales à environ 9 millions de dollars.

Peckshield, une autre société de sécurité, allègue qu'une attaque similaire a frappé LI.FI en 2022.