Протоколът Li Finance (LiFi) е най-новата платформа за децентрализирани финанси (DeFi), която става жертва на хакери. Пропуск в интелигентния договор на LI.FI за размяна преди моста беше използван от измамник, което му позволи да открадне различни количества USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT и DAI на обща стойност 600 29 долара от 21 портфейла, според публикация в блога от 2022 март XNUMX г.
Протоколът LI.FI претърпя кражба от $600 XNUMX
LI.Fi, протокол за агрегиране на мост с свързаност с децентрализиран обмен (DEX), възможности за обмен на данни между вериги и други, претърпя сериозна атака, давайки на хакера цифрови активи на стойност 600,000 XNUMX долара.
Според публикация в блога на екипа на LI.FI, нападател е използвал уязвимост във функцията за размяна на интелигентния договор LI FI точно в 2:51 часа +UTC. Екипът казва, че хакерът е успял да получи пълен контрол върху своята функция за размяна преди мост и е успял да извършва интелигентни договорни разговори, които прехвърлят токените в портфейлите на потребителите към неговите, въз основа на които договорите за токени потребителите са дали безкрайно одобрение.
LI.FI написа:
„На 20 март 2022 г. нападател използва интелигентния договор на LI.FI, по-специално нашата функция за размяна, която ни позволява да извършваме суапове преди свързване. Вместо всъщност да разменят, те успяха да извикат договори с токени директно в контекста на нашия договор. В резултат на експлоата всеки, който даде безкрайно одобрение на нашия договор, беше уязвим.
Само в една транзакция, екипът казва, че нападателят е успял да открадне различни количества USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO) Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), Aave (AAVE), Jarvis Network (JRT) и Dai (DAI).
След успешния експлойт нападателят размени токените в етер (ETH), но все още не е изпрал откраднатите средства към момента на писане. LI.FI се свърза с хакера и очаква отговор.
„Експлоататор на LI.FI, оценяваме, че посочихте уязвимостта в нашите договори. Бихме искали да обсъдим връщането на потребителски средства и потенциална награда: [имейл защитен]”, написаха от екипа.
LI.FI възстановява разходите на потребителите
Важно е, че от 29 портфейла, засегнати от кражбата, Li Finance казва, че е възстановила 25 от тях (86 процента), в общата сума от $80 517, и разговаря със собствениците на останалите четири портфейла (условен размер ~ $XNUMX к) да трансформира загубените средства в ангелска инвестиция в проекта, за да намали щетите за хазната на LI FI.
Екипът на LI FI казва, че вече е локализирал и коригирал уязвимостта в своите интелигентни договори и съжалява, че не е отделил време за задълбочен одит на платформата, преди да пусне на живо.
„Като не завършихме одит по-рано, ние пренебрегнахме задължението си да предложим възможно най-висока сигурност. Нашата мисия е да увеличим максимално UX и сега с болка научихме, че нашите мерки за сигурност трябва драстично да се подобрят, за да следваме този етос“, заяви LI.FI.
В свързани новини, на 15 март 2022 г. доклади Оказа се, че DeFi протоколът Deus Finance е претърпял атака с флаш заем, която е позволила на хакерите да откраднат над 3 милиона долара в криптовалута. И на 18 март, крипто.новини съобщи, че Agave and Hundred Finance са загубили 11 милиона долара от хакери чрез експлоатиране на грешки при повторно влизане.
Източник: https://crypto.news/li-finance-defi-protocol-600k-reimburse/