Li Finance (LiFi) protokol je najnovija decentralizirana financijska (DeFi) platforma koja je postala žrtva hakera. Nevaljali glumac iskoristio je rupu u pametnom ugovoru o zamjeni prije premošćavanja LI.FI-ja, što mu je omogućilo da ukrade različite količine USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT i DAI u ukupnom iznosu od 600 dolara od 29 novčanika, prema postu na blogu od 21. ožujka 2022.
LI.FI protokol pretrpio pljačku od 600 tisuća dolara
LI.Fi, bridge agregacijski protokol s vezom decentralizirane razmjene (DEX), mogućnostima razmjene podataka u više lanaca i još mnogo toga, pretrpio je veliki napad, poklonivši hakeru digitalnu imovinu vrijednu 600,000 dolara.
Prema objavi na blogu LI.FI tima, napadač je iskoristio ranjivost u značajci zamjene pametnog ugovora LI FI točno u 2:51 ujutro +UTC. Tim kaže da je haker uspio steći potpunu kontrolu nad svojom značajkom zamjene prije premošćavanja i bio je u mogućnosti uputiti pametne ugovorne pozive koji su prebacivali tokene iz korisničkih novčanika u njegove, na temelju kojih su tokeni ugovora korisnici prethodno davali beskonačna odobrenja.
LI.FI je napisao:
“Napadač je 20. ožujka 2022. iskoristio LI.FI-jev pametni ugovor, točnije našu značajku zamjene koja nam omogućuje da izvršimo zamjene prije premošćavanja. Umjesto stvarne zamjene, mogli su nazvati ugovore o tokenima izravno u kontekstu našeg ugovora. Kao rezultat eksploatacije, svatko tko je dao beskonačno odobrenje našem ugovoru bio je ranjiv,”
U samo jednoj transakciji, tim kaže da je napadač uspio ukrasti različite količine USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO) Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), Aave (AAVE), Jarvis Network (JRT) i Dai (DAI).
Nakon uspješnog iskorištavanja, napadač je zamijenio tokene u eter (ETH), ali još nije oprao ukradena sredstva u vrijeme pisanja. LI.FI je kontaktirao hakera i čeka odgovor.
“LI.FI exploiter, we appreciate you pointing out the vulnerability in our contracts. We would like to discuss returning user funds and a potential bounty: [e-pošta zaštićena],” wrote the team.
LI.FI nadoknađuje troškove korisnicima
Važno je da od 29 novčanika pogođenih pljačkom, Li Finance kaže da je nadoknadio 25 od njih (86 posto), u ukupnom iznosu od 80 tisuća dolara, te razgovara s vlasnicima preostala četiri novčanika (zamišljena veličina ~ 517 dolara k) transformirati izgubljena sredstva u anđeosko ulaganje u projekt, kako bi se smanjila šteta u riznici LI FI-ja.
Tim LI FI kaže da je sada locirao i ispravio ranjivost u svojim pametnim ugovorima i žali što nije odvojio vrijeme za temeljitu reviziju platforme prije objavljivanja.
“Ne završivši reviziju ranije, zanemarili smo svoju dužnost da ponudimo najveću moguću sigurnost. Naša misija je maksimizirati UX, a sada smo bolno naučili da se naše sigurnosne mjere moraju drastično poboljšati kako bismo slijedili ovaj etos,” izjavio je LI.FI.
U srodnim vijestima, 15. ožujka 2022. god. izvješća Ispostavilo se da je DeFi protokol Deus Finance pretrpio napad flash zajma koji je hakerima omogućio da ukradu više od 3 milijuna dolara u kripto. I 18. ožujka god. kripto.vijesti izvijestio je da su Agave and Hundred Finance izgubili 11 milijuna dolara od hakera putem iskorištavanja bugova za ponovno ulazak.
Izvor: https://crypto.news/li-finance-defi-protocol-600k-reimburse/