Le protocole LiFi exploité pour 10 millions de dollars, avertit les utilisateurs d’éviter la plateforme
Le protocole LiFi, une plateforme d’échange d’actifs et de pont compatible avec les chaînes Solana et EVM, a été exploité pour environ 10 millions de dollars.
La plateforme DeFi a reconnu la faille mais n’a pas révélé le montant exact perdu. Elle a exhorté les membres de la communauté à éviter d’interagir avec son système.
Il a écrit :
« Veuillez ne pas interagir avec les applications fonctionnant avec LIFI pour le moment ! Nous étudions une faille potentielle. Si vous n’avez pas défini d’approbation infinie, vous ne courez aucun risque. Seuls les utilisateurs qui ont défini manuellement des approbations infinies semblent être concernés. »
10 millions de dollars drainés
Le 16 juillet, Cyvers Alert, une plateforme de sécurité web3, a signalé des transactions suspectes impliquant un contrat intelligent LiFi.
La plateforme a révélé que ces transactions ont entraîné des pertes d’environ 10 millions de dollars d’actifs utilisateurs, dont 6,3 millions de dollars en USDT, 3,1 millions de dollars en USDC et environ 170 000 dollars en stablecoin DAI, sur divers réseaux blockchain, dont le réseau Ethereum de couche 2 Arbitrum.
L’analyste de la blockchain Lookonchain a rapporté que les pièces stables volées ont été échangées contre 2 857 ETH, soit l’équivalent de 9,7 millions de dollars, et distribuées dans plusieurs portefeuilles.
Meir Dolev, co-fondateur et directeur technique de Cyvers, a déclaré à CryptoSlate :
« Cet incident met en évidence les dangers liés à l’approbation des portefeuilles pour les contrats intelligents. Il est essentiel que les protocoles restent vigilants, car les pirates peuvent profiter de ces approbations pour voler à la fois les actifs des contrats et les fonds des portefeuilles connectés des utilisateurs. »
Une autre société de sécurité Blockchain, Blockaid, a expliqué que l’origine de l’attaque était l’exploitation de l’implémentation proxy de la plateforme. Elle a ajouté :
« Les attaquants ont réussi à exploiter une vulnérabilité dans l’implémentation du proxy, où un attaquant est capable d’injecter un appel de fonction au contrat – une capacité qu’ils ont ensuite utilisée pour injecter transfert à partir de appelle les utilisateurs approuvés. »
Notamment, la société de sécurité blockchain Peckshield a souligné que la plateforme Li.Fi avait subi une attaque similaire en mars 2022. À l’époque, Li.Fi avait déclaré que l’attaquant avait exploité son contrat intelligent via une fonction d’échange qui appelle directement les contrats de jetons au lieu d’effectuer des échanges réels.
Entre-temps, l’attaque a conduit à la diffusion de plusieurs liens d’escroquerie par phishing sur les réseaux sociaux, exhortant les utilisateurs à « révoquer » leur accès à la plateforme via des liens suspects.
Le protocole LiFi exploité pour 10 millions de dollars, avertit les utilisateurs d’éviter la plateforme est apparu en premier sur CryptoSlate.