DeFiHack, Fraude et ScamNews

Hack : le protocole Li Finance délesté de 600 000 dollars

Crédit : Shutterstock

Décelant une faille au sein du projet, un hacker a « allégé » les utilisateurs du protocole Li Finance d’environ 600 000 dollars.

 

Pas de trêve pour les pirates toujours sur le qui-vive quand il s’agit de déceler les failles de divers projets. Ainsi, un hacker s’en est pris au protocole de finance décentralisée Li Finance, piochant allègrement dans les portefeuilles de 29 utilisateurs. Un « assaut » qui s’est déroulé dans la nuit du 20 mars, à 2h51 précisément, durant lequel le malfrat a extrait des quantités variables d’une dizaine de tokens différents au sein desdits wallets. Le hacker s’était vu, grâce à son ouvrage, ouvrir les portes du protocole DeFi et bénéficier d’une « approbation infinie » à l’intérieur de celui-ci.

Parmi les jetons volés figuraient, notamment – liste non exhaustive- du MATIC (token natif du protocole Polygon), de l’USD Coin (USDC), du AAVE, du Rocket Pool (RPL), du Tether (USDT) ou encore du Metaverse Index (MVI). Si l’équipe de Li Finance se targue d’avoir réagi rapidement dans un communiqué, elle a tout de même mis 12 heures à s’apercevoir de la supercherie – à 14h15 précisément-, stoppant ipso facto tous échanges sur plateforme pour éviter les pertes supplémentaires. Néanmoins, contrairement à d’autres victimes de ce type d’infractions, force est de reconnaître que sa communication s’est avérée assez transparente sur le sujet.

Ainsi, l’état-major de Li Finance a détaillé, quelques heures plus tard, le « déroulé de l’opération », mettant en évidence que le pirate s’était engouffré dans une brèche de sécurité et avait échangé l’ensemble des jetons dérobés contre un total de 205 ETH. Cette « enveloppe » sommeillant encore dans le portefeuille du contrevenant à l’heure de la rédaction de ces lignes. En outre, les équipes de Li Finance ont assuré à leurs utilisateurs que la faille de sécurité avait bel et bien été identifiée et corrigée.

Li Finance n’a pas tardé à prendre les choses en main, restituant les sommes dérobées au sein de 25 portefeuilles sur 29. Une célérité surprenante mais qui s’explique en partie par le fait que la valeur cumulée de ces 25 portefeuilles atteignait « seulement » 80 000 dollars, soit 13% du total évaporé.

Les propriétaires des quatre portefeuilles restants, dont les pertes s’évaluent à 517 000 dollars se sont vus, quant à eux, proposer un accord d’indemnisation consistant à devenir « investisseurs providentiels » dans le protocole. Ils recevront, ainsi, des jetons LiFi dans les mêmes conditions que les autres investisseurs correspondant au montant de leurs pertes respectives.

Un « arrangement » qui aurait l’avantage de ne pas entamer encore davantage la trésorerie du protocole déjà fragilisée par cette attaque. De plus, le « timing » de cette opération tombe particulièrement mal pour Li Finance, Philipp Zenter, son PDG, déclarant dans les colonnes de Cointelegraph être « littéralement à une semaine de notre audit ». Cependant, même un audit approfondi n’aurait, peut-être, pas permis de déceler cette faille si particulière, comme l’explique, sur Twitter, un chercheur répondant à l’avatar « transmissions 11 » de la société d’investissement crypto Paradigm. « Cette erreur est difficilement décelable et particulièrement subtile si vous n’êtes pas dans le bon état d’esprit, l’ayant moi-même manqué ».

Quant au pirate, toujours détenteur des 205 ETH, il a été contacté et s’est vu proposé une récompense en échange de la restitution totale des fonds. Sans réponse pour le moment.

Suivez Coins.fr sur Twitter, Linkedin, Google, Facebook ou Telegram pour ne rien manquer.

Samir Hamladji
Rédacteur et reporter - Journaliste pour plusieurs grands médias tels que LesEchos ou Challenges, Samir a été en charge de la rubrique Finance chez Forbes de 2016 à 2019. Il s'intéresse depuis plusieurs années à l'écosystème des crypto-monnaies et de la blockchain.