Hack repetita. La finance décentralisée (DeFi) a pour vocation initiale de développer des protocoles financiers basés sur la blockchain et les cryptomonnaies. Un écosystème numérique dont la valeur totale verrouillée (TVL) est actuellement estimée à 100 milliards de dollars, tous réseaux confondus. C’est la raison pour laquelle les hackers sont en embuscade , afin de détecter et exploiter la moindre faille disponible. Et le travail est d’autant plus facile lorsque les développeurs en charge de la sécurité des fonds de leurs utilisateurs ne tirent pas les leçons de leurs expériences passées. Une douloureuse expérience que vient de subir le bridge Li.Fi, avec des pertes pour le moment estimées à 11 millions de dollars.
DeFi : Hack du protocole Li.Fi
Les protocoles de la DeFi n’échappent malheureusement pas à la règle du crypto club qui implique de passer par un hack pour devenir un membre à part entière – ou disparaître – de cet écosystème. La différence est que les fonds qu’ils détiennent sont ceux de leur communauté et les montants bien souvent estimés en dizaines de millions de dollars … au minimum !
Une réalité d’autant plus déplaisante lorsqu’on apprend que 128 de ses protocoles actuels pourraient se faire voler leurs site Internet , par manque de sécurité suffisante. Car, bien trop souvent, la précipitation semble se substituer au développement éclairé, afin de construire (ou la plupart du temps de reproduire à l’identique) des protocoles sur les nombreux réseaux disponibles.
Par corrélation, il devient désormais presque possible de mesurer la popularité d’une blockchain au nombre d’attaques dont ses utilisateurs sont les victimes. Avec comme cible privilégiée à l’heure actuelle, l’usine à memecoins Solana en pleine surproduction saisonnière.
Mais une autre catégorie vient gonfler les rangs de ce club trop peu VIP. Il s’agit des protocoles victimes de hacks à répétition. Manque de chance ? Ce n’est visiblement pas aussi simple du côté du bridge Li.Fi, dont la dernière attaque vient de le délester de 11 millions de dollars. C’est-à-dire bien plus que les 600 000 $ perdus 2022 !
« Veuillez ne pas interagir avec les applications alimentées par LI.FI pour le moment ! Nous enquêtons sur un hack potentiel. Seuls les utilisateurs qui ont défini manuellement des approbations infinies semblent être concernés. »
Li.Fi
Une attaque (trop) similaire à 2022 ?
L’affaire a débuté hier en fin de journée. Quelques heures plus tard, les membres du protocole Li.Fi ont publié un premier compte rendu faisant état d’une attaque présentée comme contenue, du fait de la désactivation du smart contract impliqué.
Une réactivité apparente qui n’aura pas empêché la société de sécurité blockchain PeckShield de noter quelques similitudes troublantes avec une autre affaire intervenue en 2022. Une attaque dont le post mortem faisait état de 600 000 $ de pertes. Cela suite à une vulnérabilité impliquant « toute personne ayant donné une approbation infinie. » Oups !
« En analysant le hack du protocole LiFi, nous remarquons un hack antérieur sur le même protocole le 20 mars 2022. Le bug est fondamentalement le même. Apprenons-nous quelque chose des leçons passées ? »
PeckShield
Et comme tout protocole un peu trop léger sur la sécurité, les membres de Li.Fi affirment travailler avec les autorités afin de « retrouver les fonds perdus. » Vont-ils essayer de contacter le hacker, afin de rester fidèles à la procédure décrite dans le post mortem de 2022 ? Rien ne permet pour le moment de le confirmer…
Il ne reste plus qu’à attendre le nouveau post mortem du protocole Li.Fi, afin de connaître les détails de ce hack. Peut-être que ses membres pourront le copier/coller sur celui de 2022, comme ils ont apparemment fait pour le code du smart contract impliqué ! Avec un nouveau préjudice à ajouter au plus de 19 milliards de dollars volés au cours des 13 dernières années dans le secteur des cryptomonnaies.
