Protokol Li Finance (LiFi) je najnovejša platforma za decentralizirane finance (DeFi), ki je postala žrtev hekerjev. Previdni igralec je izkoristil vrzel v pametni pogodbi LI.FI pred premostitvijo, ki mu je omogočila krajo različnih količin USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT in DAI v skupni vrednosti 600 $. 29 denarnic, glede na objavo v blogu z dne 21. marca 2022.
Protokol LI.FI utrpel 600 $ ropa
LI.Fi, protokol za združevanje mostov s povezljivostjo decentralizirane izmenjave (DEX), zmožnostmi medverižnega sporočanja podatkov in še več, je doživel velik napad, ki je hekerju podaril digitalna sredstva v vrednosti 600,000 $.
Glede na objavo v blogu ekipe LI.FI je napadalec izkoristil ranljivost v funkciji zamenjave pametne pogodbe LI FI točno ob 2:51 +UTC. Ekipa pravi, da je hekerju uspelo pridobiti popoln nadzor nad funkcijo zamenjave pred premostitvijo in je lahko opravil pametne pogodbene klice, ki so žetone v denarnicah uporabnikov prenesli na njegove, na podlagi katerih so uporabniki žetonskih pogodb pred tem dali neskončno dovoljenje.
LI.FI je napisal/a:
»Dne 20. marca 2022 je napadalec izkoristil pametno pogodbo LI.FI, natančneje našo funkcijo zamenjave, ki nam omogoča, da izvedemo zamenjave pred premostitvijo. Namesto dejanske zamenjave so lahko klicali pogodbe žetonov neposredno v kontekstu naše pogodbe. Zaradi izkoriščanja je bil vsak, ki je neskončno odobril našo pogodbo, ranljiv,«
V samo eni transakciji ekipa pravi, da je napadalec lahko ukradel različne količine USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO), Tether (USDT), Metaverse Index (MVI), Audius (AVDIO), Aave (AAVE), Jarvis Network (JRT) in Dai (DAI).
Po uspešnem izkoriščanju je napadalec žetone zamenjal v eter (ETH), a ukradenih sredstev v času pisanja še ni opral. LI.FI je stopil v stik s hekerjem in čaka na odgovor.
“LI.FI exploiter, we appreciate you pointing out the vulnerability in our contracts. We would like to discuss returning user funds and a potential bounty: [e-pošta zaščitena],” wrote the team.
LI.FI uporabnikom povrne stroške
Pomembno je, da od 29 denarnic, ki jih je prizadel rop, Li Finance pravi, da jih je povrnila 25 (86 odstotkov), v skupnem znesku 80 $, in se pogovarja z lastniki preostalih štirih denarnic (predstavljena velikost ~ 517 $ k) izgubljena sredstva preoblikovati v angelsko naložbo v projekt, da se zmanjša škoda v zakladnici LI FI.
Ekipa LI FI pravi, da je zdaj odkrila in odpravila ranljivost v svojih pametnih pogodbah, in obžaluje, da si ni vzela časa za temeljito revizijo platforme, preden jo objavi.
»S tem, ko revizije nismo zaključili prej, smo zanemarili svojo dolžnost ponuditi najvišjo možno varnost. Naše poslanstvo je maksimirati UX in zdaj smo se boleče naučili, da se morajo naši varnostni ukrepi drastično izboljšati, da bi sledili temu etosu,« je izjavil LI.FI.
V povezanih novicah, 15. marca 2022, Poročila Izkazalo se je, da je DeFi protokol Deus Finance utrpel napad hitrega posojila, ki je hekerjem omogočil krajo več kot 3 milijone dolarjev v kriptovalutih. In 18. marca, crypto.novice poročali, da sta Agave and Hundred Finance zaradi hekerjev izgubila 11 milijonov dolarjev z izkoriščanjem hrošča pri ponovnem vstopu.
Vir: https://crypto.news/li-finance-defi-protocol-600k-reimburse/