Li Finance (LiFi) protokol er den seneste decentraliserede finansieringsplatform (DeFi) til at blive offer for hackere. Et smuthul i LI.FI's pre-bridge swap smart kontrakt blev udnyttet af den useriøse skuespiller, hvilket gjorde det muligt for ham at stjæle forskellige mængder af USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT og DAI på i alt 600 USD fra 29 tegnebøger ifølge et blogindlæg den 21. marts 2022.
LI.FI-protokol lider under $600 røveri
LI.Fi, en brosammenlægningsprotokol med decentraliseret udveksling (DEX)-forbindelse, tværkædede databeskedfunktioner og mere, har været udsat for et stort angreb og har givet hackeren $600,000 i digitale aktiver.
Ifølge et blogindlæg fra LI.FI-teamet udnyttede en angriber en sårbarhed i byttefunktionen i LI FI-smartkontrakten præcis kl. 2 +UTC. Holdet siger, at hackeren formåede at få total kontrol over sin pre-bridge swap-funktion og var i stand til at foretage smarte kontraktopkald, der overførte tokens i brugernes tegnebøger til hans, baseret på hvilke token-kontrakter, brugere tidligere havde givet uendelige godkendelser.
LI.FI skrev:
"Den 20. marts 2022 udnyttede en angriber LI.FI's smarte kontrakt, specifikt vores swapping-funktion, som giver os mulighed for at udføre swaps før brobygning. I stedet for faktisk at bytte, var de i stand til at kalde token-kontrakter direkte i forbindelse med vores kontrakt. Som et resultat af udnyttelsen var enhver, der gav uendelig godkendelse til vores kontrakt, sårbar."
I blot én transaktion siger holdet, at angriberen var i stand til at stjæle forskellige mængder af USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO) Tether (USDT), Metaverse Index (MVI), Audius (LYD), Aave (AAVE), Jarvis Network (JRT) og Dai (DAI).
Efter den vellykkede udnyttelse byttede angriberen tokens om til ether (ETH), men har endnu ikke vasket de stjålne midler i skrivende stund. LI.FI har kontaktet hackeren og afventer svar.
"LI.FI-udbyder, vi sætter pris på, at du påpeger sårbarheden i vores kontrakter. Vi vil gerne diskutere tilbagevendende brugermidler og en potentiel dusør: [e-mail beskyttet]", skrev holdet.
LI.FI refunderer brugere
Vigtigere er det, at ud af de 29 tegnebøger, der er ramt af røveriet, siger Li Finance, at de har refunderet 25 af dem (86 procent), i et samlet beløb på $80, og det taler med ejerne af de resterende fire tegnebøger (fiktiv størrelse ~ $517 k) at omdanne de tabte midler til en engleinvestering i projektet, for at reducere skaderne på LI FI's statskasse.
LI FI-teamet siger, at det nu har lokaliseret og rettet sårbarheden i sine smarte kontrakter, og beklager, at de ikke tog sig tid til at revidere platformen grundigt, før de gik live.
"Ved ikke at afslutte en revision tidligere, forsømte vi vores pligt til at tilbyde den højest mulige sikkerhed. Vores mission er at maksimere UX, og nu har vi smerteligt erfaret, at vores sikkerhedsforanstaltninger skal forbedres drastisk for at følge denne etos,” erklærede LI.FI.
I relaterede nyheder, den 15. marts 2022, rapporter kom frem, at DeFi-protokollen Deus Finance havde lidt et flashlånsangreb, der gjorde det muligt for hackerne at stjæle over 3 millioner dollars i krypto. Og den 18. marts crypto.news rapporterede, at Agave and Hundred Finance mistede 11 millioner dollars til hackere via en udnyttelse af en genindtræden.
Kilde: https://crypto.news/li-finance-defi-protocol-600k-reimburse/