A Li Finance (LiFi) protokoll a legújabb decentralizált pénzügyi (DeFi) platform, amely a hackerek áldozatává vált. A szélhámos színész kihasználta a LI.FI hídcsere előtti intelligens szerződésében lévő kiskaput, lehetővé téve számára, hogy különböző mennyiségű USDC-t, MATIC-ot, RPL-t, GNO-t, USDT-t, MVI-t, AUDIO-t, AAVE-t, JRT-t és DAI-t lopjon el összesen 600 29 dollár értékben. 21 pénztárca egy 2022. március XNUMX-i blogbejegyzés szerint.
A LI.FI protokoll 600 XNUMX dolláros rablást szenved el
A LI.Fi, a decentralizált adatcsere (DEX) kapcsolattal, láncokon átívelő adatüzenetküldési képességekkel és sok mással rendelkező híd-összesítő protokoll súlyos támadást szenvedett el, és 600,000 XNUMX dollár értékű digitális eszközt ajándékozott a hackernek.
A LI.FI csapat blogbejegyzése szerint egy támadó kihasználta a LI FI intelligens szerződés cserefunkciójában található sebezhetőséget pontosan hajnali 2:51-kor +UTC. A csapat szerint a hackernek sikerült megszereznie a teljes irányítást a hídcsere előtti funkciója felett, és intelligens szerződéshívásokat is lebonyolíthatott, amelyek a felhasználók pénztárcájában lévő tokeneket átvitték az övébe, amely tokenszerződések alapján a felhasználók korábban végtelen számú jóváhagyást adtak.
LI.FI írta:
„20. március 2022-án egy támadó kihasználta a LI.FI intelligens szerződését, konkrétan a mi cserefunkciónkat, amely lehetővé teszi számunkra, hogy az áthidalás előtt cseréket hajtsunk végre. Ahelyett, hogy ténylegesen cseréltek volna, közvetlenül a szerződésünk keretében hívhattak token szerződéseket. A kizsákmányolás eredményeként bárki, aki végtelenül jóváhagyta a szerződésünket, kiszolgáltatottá vált”
A csapat szerint egyetlen tranzakció során a támadó különböző mennyiségű USD-érmét (USDC), Polygont (MATIC), Rocket Poolt (RPL), Gnosis (GNO) Tethert (USDT), Metaverse Indexet (MVI), Audiust tudott ellopni. (AUDIO), Aave (AAVE), Jarvis Network (JRT) és Dai (DAI).
A sikeres kihasználás után a támadó a tokeneket éterre (ETH) cserélte, de a cikk írásakor még nem kell tisztára mosnia az ellopott pénzeszközöket. A LI.FI felvette a kapcsolatot a hackerrel, és válaszra vár.
„LI.FI kizsákmányoló, köszönjük, hogy rámutat a szerződéseinkben lévő sebezhetőségre. Szeretnénk megvitatni a visszatérő felhasználói pénzeket és a lehetséges jutalmat: [e-mail védett]” – írta a csapat.
A LI.FI megtéríti a felhasználókat
Fontos, hogy a rablás által érintett 29 pénztárcából a Li Finance azt állítja, hogy ebből 25-öt (86 százalékot) térített meg, összesen 80 517 dollár értékben, és a fennmaradó négy pénztárca tulajdonosaival tárgyal (elvileg körülbelül XNUMX dollár). k) a kieső forrásokat angyal befektetéssé alakítani a projektbe, csökkenteni a LI FI pénztárában keletkezett károkat.
A LI FI csapata azt állítja, hogy most megtalálta és kijavította az intelligens szerződések sérülékenységét, és sajnálja, hogy nem szántak időt a platform alapos ellenőrzésére az éles indítás előtt.
„Azzal, hogy nem fejeztük be korábban az auditot, elhanyagoltuk azon kötelezettségünket, hogy a lehető legmagasabb biztonságot nyújtsuk. Küldetésünk az UX maximalizálása, és most fájdalmasan megtanultuk, hogy a biztonsági intézkedéseinket drasztikusan javítani kell ahhoz, hogy ezt a szellemiséget követhessük” – jelentette ki a LI.FI.
A kapcsolódó hírekben 15. március 2022-én jelentések Kiderült, hogy a DeFi protokoll Deus Finance egy gyorskölcsönzési támadást szenvedett el, amely lehetővé tette a hackerek számára, hogy több mint 3 millió dollárt lopjanak el. És március 18-án crypto.news beszámolt arról, hogy az Agave and Hundred Finance 11 millió dollárt veszített a hackerek számára egy reentancy bug exploit révén.
Forrás: https://crypto.news/li-finance-defi-protocol-600k-reimburse/