Protokół Li Finance (LiFi) to najnowsza platforma zdecentralizowanych finansów (DeFi), która padła ofiarą hakerów. Nieuczciwy aktor wykorzystał lukę w inteligentnym kontrakcie LI.FI dotyczącym wymiany mostów przed mostem, umożliwiając mu kradzież różnych kwot USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT i DAI o łącznej wartości 600 tys. dolarów Według wpisu na blogu z 29 marca 21 r. 2022 portfeli.
Protokół LI.FI uległ napadowi na 600 tys. dolarów
LI.Fi, protokół agregacji mostów z łącznością zdecentralizowanej wymiany (DEX), możliwością przesyłania danych między łańcuchami i nie tylko, padł ofiarą poważnego ataku, w ramach którego haker otrzymał zasoby cyfrowe o wartości 600,000 XNUMX dolarów.
Według wpisu na blogu zespołu LI.FI osoba atakująca wykorzystała lukę w zabezpieczeniach funkcji wymiany inteligentnego kontraktu LI FI dokładnie o godzinie 2:51 czasu UTC. Zespół twierdzi, że hakerowi udało się uzyskać całkowitą kontrolę nad funkcją wymiany przed mostem i był w stanie wykonywać wywołania inteligentnych kontraktów, które przekazywały tokeny z portfeli użytkowników do jego, na podstawie których użytkownicy kontraktów tokenowych wyrazili wcześniej nieskończoną liczbę zatwierdzeń.
LI.FI napisała:
„20 marca 2022 r. osoba atakująca wykorzystała inteligentny kontrakt LI.FI, w szczególności naszą funkcję wymiany, która umożliwia nam przeprowadzanie zamiany przed mostkowaniem. Zamiast faktycznie wymieniać, mogli wywoływać kontrakty tokenowe bezpośrednio w kontekście naszego kontraktu. W wyniku exploita każdy, kto udzielił nieograniczonej zgody na naszą umowę, był bezbronny” – dodał.
Zespół twierdzi, że w ciągu zaledwie jednej transakcji atakującemu udało się ukraść różne ilości USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO), Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), Aave (AAVE), Jarvis Network (JRT) i Dai (DAI).
Po udanym exploitu osoba atakująca zamieniła tokeny na eter (ETH), ale w chwili pisania tego tekstu nie wyprała jeszcze skradzionych środków. LI.FI skontaktowało się z hakerem i oczekuje na odpowiedź.
“LI.FI exploiter, we appreciate you pointing out the vulnerability in our contracts. We would like to discuss returning user funds and a potential bounty: [email chroniony],” wrote the team.
LI.FI zwraca pieniądze użytkownikom
Co ważne, z 29 portfeli objętych napadem Li Finance twierdzi, że zwróciło 25 z nich (86 proc.) na łączną kwotę 80 tys. dolarów i prowadzi rozmowy z właścicielami pozostałych czterech portfeli (wielkość fikcyjna ~517 dolarów k) przekształcenie utraconych środków w anielską inwestycję w projekt, aby zmniejszyć szkody dla skarbca LI FI.
Zespół LI FI twierdzi, że zlokalizował i naprawił lukę w swoich inteligentnych kontraktach i żałuje, że nie poświęcił czasu na dokładny audyt platformy przed jej uruchomieniem.
„Nie kończąc audytu wcześniej, zaniedbaliśmy nasz obowiązek zapewnienia najwyższego możliwego bezpieczeństwa. Naszą misją jest maksymalizacja UX, a teraz boleśnie nauczyliśmy się, że nasze środki bezpieczeństwa muszą drastycznie się poprawić, aby zachować zgodność z tym etosem” – oznajmił LI.FI.
W powiązanych wiadomościach z 15 marca 2022 r. Raporty Okazało się, że protokół DeFi Deus Finance padł ofiarą ataku pożyczki błyskawicznej, który umożliwił hakerom kradzież kryptowalut o wartości ponad 3 milionów dolarów. A 18 marca br. krypto.news poinformowało, że Agave and Hundred Finance straciło 11 milionów dolarów na rzecz hakerów w wyniku exploita polegającego na ponownym wejściu.
Źródło: https://crypto.news/li-finance-defi-protocol-600k-reimburse/