Li Finance (LiFi)-protokollen er den siste desentraliserte finansplattformen (DeFi) for å bli offer for hackere. Et smutthull i LI.FIs smarte kontrakt før brobytte ble utnyttet av den useriøse skuespilleren, noe som gjorde det mulig for ham å stjele varierende mengder USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT og DAI på til sammen $600k fra 29 lommebøker, ifølge et blogginnlegg fra 21. mars 2022.
LI.FI Protocol lider av $600 XNUMX røveri
LI.Fi, en broaggregeringsprotokoll med desentralisert utveksling (DEX)-tilkobling, funksjoner for datameldinger på tvers av kjeder og mer, har blitt utsatt for et stort angrep, og har gitt digitale eiendeler verdt 600,000 XNUMX dollar til hackeren.
I følge et blogginnlegg fra LI.FI-teamet, utnyttet en angriper en sårbarhet i byttefunksjonen til LI FI-smartkontrakten nøyaktig klokken 2:51 +UTC. Teamet sier at hackeren klarte å få total kontroll over sin pre-bridge swap-funksjon og var i stand til å foreta smarte kontraktanrop som overførte tokens i brukernes lommebøker til hans, basert på hvilke token-kontrakter brukere tidligere hadde gitt uendelige godkjenninger.
LI.FI skrev:
«20. mars 2022 utnyttet en angriper LI.FIs smarte kontrakt, spesifikt byttefunksjonen vår som lar oss utføre bytte før brobygging. I stedet for faktisk å bytte, var de i stand til å ringe token-kontrakter direkte i sammenheng med kontrakten vår. Som et resultat av utnyttelsen var alle som ga uendelig godkjenning til kontrakten vår sårbare.»
I bare én transaksjon sier teamet at angriperen var i stand til å stjele varierende mengder USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO) Tether (USDT), Metaverse Index (MVI), Audius (LYD), Aave (AAVE), Jarvis Network (JRT) og Dai (DAI).
Etter den vellykkede utnyttelsen byttet angriperen tokenene inn i eter (ETH), men har ennå ikke vasket de stjålne midlene i skrivende stund. LI.FI har kontaktet hackeren og venter på svar.
«LI.FI-utnytter, vi setter pris på at du påpeker sårbarheten i kontraktene våre. Vi vil gjerne diskutere tilbakevendende brukermidler og en potensiell dusør: [e-postbeskyttet]", skrev teamet.
LI.FI refunderer brukere
Viktigere, av de 29 lommebøkene som ble berørt av ranet, sier Li Finance at de har refundert 25 av dem (86 prosent), til et samlet beløp på 80 517 USD, og de snakker med eierne av de resterende fire lommebokene (konkret størrelse ~ XNUMX USD). k) å forvandle de tapte midlene til en engelinvestering i prosjektet, for å redusere skadene på LI FIs statskasse.
LI FI-teamet sier at de nå har lokalisert og fikset sårbarheten i sine smarte kontrakter, og beklager at de ikke tok seg tid til å revidere plattformen grundig før de ble publisert.
«Ved å ikke avslutte en revisjon tidligere, forsømte vi vår plikt til å tilby høyest mulig sikkerhet. Vårt oppdrag er å maksimere UX, og nå har vi smertelig lært at sikkerhetstiltakene våre må forbedres drastisk for å følge denne etosen,» erklærte LI.FI.
I relaterte nyheter, 15. mars 2022, rapporter kom frem at DeFi-protokollen Deus Finance hadde blitt utsatt for et flashlånsangrep som gjorde det mulig for hackerne å stjele over 3 millioner dollar i krypto. Og 18. mars crypto.news rapporterte at Agave and Hundred Finance tapte 11 millioner dollar til hackere via en reentrancy bug-utnyttelse.
Kilde: https://crypto.news/li-finance-defi-protocol-600k-reimburse/