Li Finance (LiFi) protokol je najnovija decentralizirana financijska (DeFi) platforma koja je postala žrtva hakera. Rupu u LI.FI-jevom pametnom ugovoru prije premošćavanja iskoristio je lažni glumac, omogućavajući mu da ukrade različite količine USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT i DAI u ukupnom iznosu od 600 hiljada dolara od 29 novčanika, prema postu na blogu od 21. marta 2022.
LI.FI protokol pretrpio pljačku od 600 hiljada dolara
LI.Fi, bridge agregacijski protokol s vezom decentralizirane razmjene (DEX), mogućnostima razmjene podataka u više lanaca, i još mnogo toga, pretrpio je veliki napad, poklonivši hakeru digitalnu imovinu u vrijednosti od 600,000 dolara.
Prema objavi na blogu LI.FI tima, napadač je iskoristio ranjivost u funkciji zamjene pametnog ugovora LI FI tačno u 2:51 ujutro +UTC. Tim kaže da je haker uspio steći potpunu kontrolu nad svojom funkcijom zamjene prije premošćavanja i bio je u mogućnosti da obavi pametne ugovorne pozive koji su prebacivali tokene iz korisničkih novčanika u njegove, na osnovu kojih su tokeni ugovora korisnici prethodno davali beskonačna odobrenja.
LI.FI je napisao:
“20. marta 2022. napadač je iskoristio pametni ugovor LI.FI-ja, posebno našu funkciju zamjene koja nam omogućava da izvršimo zamjene prije premošćavanja. Umjesto stvarne zamjene, mogli su pozvati ugovore tokena direktno u kontekstu našeg ugovora. Kao rezultat eksploatacije, svako ko je dao beskonačno odobrenje našem ugovoru bio je ranjiv.”
U samo jednoj transakciji, tim kaže da je napadač mogao ukrasti različite količine USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO) Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), Aave (AAVE), Jarvis Network (JRT) i Dai (DAI).
Nakon uspješnog eksploatacije, napadač je zamijenio tokene u eter (ETH), ali još nije oprao ukradena sredstva u vrijeme pisanja. LI.FI je kontaktirao hakera i čeka odgovor.
“LI.FI eksploatatoru, cijenimo što ste ukazali na ranjivost u našim ugovorima. Željeli bismo razgovarati o vraćanju korisničkih sredstava i potencijalnoj nagradi: [email zaštićen]“, napisala je ekipa.
LI.FI nadoknađuje troškove korisnicima
Važno je da od 29 novčanika pogođenih pljačkom, Li Finance kaže da je nadoknadio 25 od njih (86 posto), u ukupnom iznosu od 80 dolara, i razgovara sa vlasnicima preostala četiri novčanika (zamišljena veličina ~ 517 dolara). k) da se izgubljena sredstva transformišu u anđeosku investiciju u projekat, kako bi se smanjila šteta za riznicu LI FI.
Tim LI FI kaže da je sada locirao i popravio ranjivost u svojim pametnim ugovorima i žali što nije odvojio vrijeme za temeljnu reviziju platforme prije objavljivanja.
“Ne završivši reviziju ranije, zanemarili smo našu dužnost da ponudimo najveću moguću sigurnost. Naša misija je maksimizirati UX, a sada smo bolno naučili da se naše sigurnosne mjere moraju drastično poboljšati kako bismo slijedili ovaj etos,” izjavio je LI.FI.
U srodnim vijestima, 15. marta 2022. god. izvještaja Ispostavilo se da je DeFi protokol Deus Finance pretrpio napad flash zajma koji je omogućio hakerima da ukradu preko 3 miliona dolara u kriptovalutama. I 18. marta, crypto.news objavio je da su Agave and Hundred Finance izgubili 11 miliona dolara od hakera putem iskorištavanja grešaka za ponovno ulazak.
Izvor: https://crypto.news/li-finance-defi-protocol-600k-reimburse/