Li Finance (LiFi) -protokolla on uusin hajautetun rahoituksen (DeFi) alusta, joka joutuu hakkereiden uhriksi. Roistonäyttelijä käytti hyväkseen LI.FI:n sillanvaihtoa edeltävässä älysopimuksessa olevaa porsaanreikää, jolloin hän saattoi varastaa erilaisia USDC-, MATIC-, RPL-, GNO-, USDT-, MVI-, AUDIO-, AAVE-, JRT- ja DAI-tiedostoja yhteensä 600 29 dollarilla. 21 lompakkoa 2022. maaliskuuta XNUMX julkaistun blogikirjoituksen mukaan.
LI.FI-protokolla kärsii 600 XNUMX dollarin ryöstöstä
LI.Fi, siltaaggregointiprotokolla, jossa on hajautettu vaihto (DEX) -yhteys, ketjujen väliset dataviestintäominaisuudet ja paljon muuta, on joutunut suuren hyökkäyksen kohteeksi ja lahjoittanut hakkereille 600,000 XNUMX dollarin arvosta digitaalista omaisuutta.
LI.FI-tiimin blogikirjoituksen mukaan hyökkääjä käytti hyväkseen LI FI -älysopimuksen vaihtoominaisuuden haavoittuvuutta tasan kello 2 +UTC. Tiimi kertoo, että hakkeri onnistui saamaan täydellisen hallinnan sillanvaihtoa edeltävästä ominaisuudestaan ja pystyi soittamaan älykkäitä sopimuspuheluita, jotka siirsivät käyttäjien lompakossa olevat tunnukset hänen lompakoihinsa, joiden perusteella käyttäjät olivat aiemmin antaneet loputtomasti hyväksyntää.
LI.FI kirjoitti:
”Hyökkääjä käytti 20 hyväkseen LI.FI:n älysopimusta, erityisesti meidän vaihtoominaisuuttamme, jonka avulla voimme tehdä vaihtoja ennen siltausta. Varsinaisen vaihdon sijaan he pystyivät soittamaan token-sopimuksia suoraan sopimuksemme yhteydessä. Hyödynnyksen seurauksena jokainen, joka antoi loputtoman hyväksynnän sopimuksellemme, oli haavoittuvainen."
Tiimi sanoo, että vain yhdessä tapahtumassa hyökkääjä pystyi varastamaan vaihtelevia määriä USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO) Tether (USDT), Metaverse Index (MVI) ja Audius. (AUDIO), Aave (AAVE), Jarvis Network (JRT) ja Dai (DAI).
Onnistuneen hyväksikäytön jälkeen hyökkääjä vaihtoi rahakkeet eetteriksi (ETH), mutta ei ole vielä pestä varastettuja varoja tätä kirjoittaessaan. LI.FI on ottanut yhteyttä hakkeriin ja odottaa vastausta.
“LI.FI exploiter, we appreciate you pointing out the vulnerability in our contracts. We would like to discuss returning user funds and a potential bounty: [sähköposti suojattu],” wrote the team.
LI.FI korvaa käyttäjille
Tärkeää on, että ryöstön 29 lompakosta Li Finance sanoo korvanneensa niistä 25 (86 prosenttia), yhteensä 80 517 dollaria, ja se keskustelee jäljellä olevien neljän lompakon omistajien kanssa (nimellinen koko ~ XNUMX dollaria). k) muuttaa menetetyt varat enkelisijoitukseksi hankkeeseen, vähentää LI FI:n kassalle aiheutuvia vahinkoja.
LI FI -tiimi sanoo, että se on nyt löytänyt ja korjannut älykkäiden sopimustensa haavoittuvuuden, ja pahoittelee, että se ei käyttänyt aikaa alustan perusteelliseen tarkastukseen ennen sen käyttöönottoa.
”Jos emme saaneet auditointia valmiiksi aikaisemmin, laiminlyöimme velvollisuutemme tarjota korkein mahdollinen turvallisuus. Missiomme on maksimoida käyttökokemus, ja nyt olemme tuskallisesti oppineet, että turvatoimiamme on parannettava huomattavasti noudattaaksemme tätä eetosta”, LI.FI julisti.
Aiheeseen liittyvissä uutisissa 15 raportit kävi ilmi, että DeFi-protokolla Deus Finance oli kärsinyt flash-lainahyökkäyksestä, jonka ansiosta hakkerit varastivat yli 3 miljoonaa dollaria kryptoina. Ja maaliskuun 18. crypto.news raportoivat, että Agave ja Hundred Finance menettivät 11 miljoonaa dollaria hakkereille palautusvirheiden hyväksikäytön kautta.
Lähde: https://crypto.news/li-finance-defi-protocol-600k-reimburse/