Accueil Enquête : Li Finance, un crypto-hack à 600.000$ ébranle (encore) la DeFi
Actualités Financières, Actualités sur Blockchain, Actualités sur l'Ethereum, Toute l'actualité

Enquête : Li Finance, un crypto-hack à 600.000$ ébranle (encore) la DeFi

Marc-Antoine Caen Poletti
Dernière mise à jour :
hacker hack 600k li finance ethereum

Enquête sur ce hack spectaculaire qui ébranle une fois de plus le secteur de la DeFi !

Rejoignez notre groupe Telegram pour rester au courant des dernières nouvelles crypto en direct.

Par la simple exploitation d’une faille présente dans le protocole de Li Finance (LiFi), un hacker a subtilisé pas loin de 600.000 $. Répréhensible et brillant à la fois.

Acheter des cryptos via eToro Acheter des cryptos via eToro

L’investissement en crypto-monnaies est proposé par eToro (Europe) Ltd en tant que PSAN, enregistré auprès de l’AMF. Les crypto-monnaies sont très volatiles. Pas de protection des consommateurs.

Tout se déroule ce dimanche 20 mars 2022. Environ une trentaine d’utilisateurs du contrat intelligent (« smart contract ») Li Finance ont eu la mauvaise surprise de voir leur portefeuille vidé. Ou plutôt siphonné.

Cet évènement ne fait que renforcer les questionnements autour de la sécurité des systèmes décentralisés. Certes, aucun protocole numérique n’est à l’abri d’une faille, et donc d’un piratage. Cependant, il appartient à chaque entreprise de prendre des précautions proportionnées aux compétences des hackers d’aujourd’hui.

Dans ce contexte, les équipes de Li Finance se sont montrées tant empathiques envers les utilisateurs lésés, que transparentes sur leur responsabilité.

  • Exploitation d’une faille dans le protocole de Li Finance
  • Un risque pour tous les systèmes décentralisés ?
  • Mea Culpa et transparence de la part de Li Finance

Un hacker exploite une faille dans le protocole de Li Finance

Une seule et unique transaction a permis à un hacker de s’approprier la coquette somme de 600.000 $.

Les hackers ont pris l’habitude de viser les faiblesses des protocoles. Il leur suffit ensuite de les retourner contre leurs concepteurs afin d’en tirer profit. C’est exactement ce qu’il s’est passé pour le protocole de finance décentralisée de Li Finance. Bien loin d’un cheval de Troie ou encore d’un virus, la méthode du hacker a été de modifier le code de la fonctionnalité d’approbation infinie.

Pour les utilisateurs, cette fameuse fonctionnalité d’approbation infinie a bien des avantages. Mais dans l’esprit du hacker, elle ne représentait rien d’autre que la porte de l’Eldorado. Il a ainsi piraté la fonction interne swap(), laquelle est capable d’appeler l’adresse de n’importe quel portefeuille numérique. Il lui a ensuite été possible de transférer le contrat intelligent contratForm(), les fonds de chaque personne ayant auparavant approuvé ce contrat se retrouvant également transférés. 29 portefeuilles numériques au total ont été impactés.

Ces fonds ont rapidement été convertis en 205 ETH par le pirate, avant qu’il ne s’évapore dans la nature.

Il n’y a ainsi pas eu de siphonnage direct des fonds. Le hacker s’est concentré sur le transfert du protocole de contrat intelligent. Le transfert de tous les fonds liés à ce modèle de smart contract n’en a été qu’une conséquence. Mais une conséquence prévue à l’avance, et révélatrice d’une erreur de conception fondamentale.

👉 Acheter Ethereum via eToro 👉 Acheter Ethereum via eToro

L’investissement en crypto-monnaies est proposé par eToro (Europe) Ltd en tant que PSAN, enregistré auprès de l’AMF. Les crypto-monnaies sont très volatiles. Pas de protection des consommateurs.

cryptonaute twitter

Un risque de Hacker pour tous les systèmes décentralisés ?

Une faille existante, oui, mais pas si simple à repérer. Pour parvenir à cet exploit informatique, le hacker a dû s’attaquer au protocole DeFi en lui-même. Il s’est ainsi frayé un passage jusqu’à une boucle d’approbation infinie des transactions.

A travers la fonctionnalité swap(), les utilisateurs ont la possibilité de donner une approbation sans limite à leurs transactions. Pour eux, il s’agit d’une manière de les automatiser et de gagner du temps. Cette fonctionnalité n’est pourtant qu’un exemple parmi tant d’autres du travail de perfectionnement qu’il reste à faire au sein des systèmes décentralisés.

Ces derniers sont de plus en plus critiqués pour ce type de problèmes de sécurité. L’un des exemples les plus évocateurs est celui du « PolyNetwork Drama ». L’année dernière, cet autre système décentralisé a subit un piratage, se chiffrant à hauteur de plusieurs millions. La Binance Smart Chain avait alors été exploitée, permettant aux hackers de dérober plus de 600 millions de dollars en cryptomonnaies.

Par principe, une plateforme DeFi offre de nombreux avantages, notamment en matière de répartition du pouvoir financier directement dans les mains des utilisateurs. Cependant, les failles semblent être de plus en plus nombreuses, ou du moins plus régulièrement exposées en place publique.

Un risque existe donc bel et bien pour tout système DeFi. La plupart des développeurs, dont ceux de Li Finance, sont en train de se lancer dans d’importants audits internes visant à solutionner toute vulnérabilité.

Mea Culpa et transparence de la part de Li Finance

Il ne restait que quelques jours avant l’audit interne de Li Finance, programmé depuis un moment. Le timing du hacker a ainsi joué un rôle crucial.

Lorsque le piratage a été identifié, les équipes de Li Finance se sont empressées d’adresser leurs excuses à l’ensemble des utilisateurs volés. Il était bien sûr trop tard, mais ce Mea Culpa était primordial.

Les équipes de la plateforme DeFi Li Finance ont tenu à se montrer complètement transparentes sur le piratage. Et cela va de même avec leur degré de responsabilité. L’audit de sécurité a été avancé, et un patch correctif a directement été mis en place afin de fermer cette porte de l’approbation infinie.

Concernant les portefeuilles siphonnés, Li Finance a déjà indemnisé 26 des 29 portefeuilles concernés, pour une somme s’élevant à 200.000 $ au total. Toutefois, les 3 portefeuilles numériques restants étaient conséquents. Rien qu’à eux 3, ils affichaient une valeur de 400.000 $. Li Finance a indiqué leur laisser le choix, afin de tenter de minimiser l’impact sur sa trésorerie. Ils ont la possibilité de transformer leurs pertes en une sorte d’investissement providentiel, faisant d’eux des acteurs actifs de ce système.

Malgré une tentative de prise de contact ainsi qu’une promesse de récompense de la part de Li Finance, le hacker pratique toujours un silence radio strict.

Acheter des cryptos via eToro Acheter des cryptos via eToro

L’investissement en crypto-monnaies est proposé par eToro (Europe) Ltd en tant que PSAN, enregistré auprès de l’AMF. Les crypto-monnaies sont très volatiles. Pas de protection des consommateurs.

Rejoignez notre groupe Telegram pour rester au courant des dernières nouvelles crypto en direct.
Ajoutez Cryptonaute à vos flux Google Actualités

Marc-Antoine Caen Poletti

Marc-Antoine Caen Poletti

Recevez toute l'actualité crypto en direct sur Telegram
Rejoignez notre groupe Telegram

Cryptonaute.fr fournit des informations de qualité supérieure à travers des guides pédagogiques financiers et des tutoriels vidéo sur la façon d’acheter des actions et d’investir en bourse. Nous comparons les meilleurs fournisseurs ainsi que des informations approfondies sur leurs offres de produits. Nous ne conseillons ni ne recommandons aucun fournisseur, mais nous sommes là pour permettre à notre lecteur de prendre des décisions éclairées sous leur propre responsabilité. Les contrats sur la différence (« CFD ») sont des produits à effet de levier et comportent un risque important de perte pour votre capital. Jusqu’à 67% des comptes d’investisseurs particuliers perdent de l’argent lorsqu’ils négocient avec les courtiers présents sur ce site. Veuillez vous assurer de bien comprendre les risques et demander des conseils à des professionnels indépendants. En continuant à utiliser ce site Web, vous acceptez notre politique de confidentialité.

© cryptonaute.fr

Tous droits réservés – 2017 – 2024