Το πρωτόκολλο Li Finance (LiFi) είναι η πιο πρόσφατη πλατφόρμα αποκεντρωμένης χρηματοδότησης (DeFi) που πέφτει θύματα χάκερ. Ένα κενό στο έξυπνο συμβόλαιο ανταλλαγής προ-γέφυρας του LI.FI εκμεταλλεύτηκε ο απατεώνας ηθοποιός, επιτρέποντάς του να κλέψει ποικίλα ποσά USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT και DAI συνολικού ύψους 600 $ από 29 πορτοφόλια, σύμφωνα με μια ανάρτηση ιστολογίου της 21ης Μαρτίου 2022.
Το Πρωτόκολλο LI.FI υφίσταται ληστεία 600 $
Το LI.Fi, ένα πρωτόκολλο συγκέντρωσης γέφυρας με συνδεσιμότητα αποκεντρωμένης ανταλλαγής (DEX), δυνατότητες ανταλλαγής μηνυμάτων δεδομένων μεταξύ των αλυσίδων και πολλά άλλα, έχει υποστεί μια μεγάλη επίθεση, δίνοντας ψηφιακά στοιχεία αξίας 600,000 δολαρίων στον χάκερ.
Σύμφωνα με μια ανάρτηση ιστολογίου από την ομάδα LI.FI, ένας εισβολέας εκμεταλλεύτηκε μια ευπάθεια στη δυνατότητα ανταλλαγής του έξυπνου συμβολαίου LI FI ακριβώς στις 2:51 π.μ. +UTC. Η ομάδα λέει ότι ο χάκερ κατάφερε να αποκτήσει τον απόλυτο έλεγχο της δυνατότητας ανταλλαγής πριν από τη γέφυρα και μπόρεσε να πραγματοποιήσει κλήσεις έξυπνων συμβολαίων που μετέφεραν τα token στο πορτοφόλι των χρηστών στο δικό του, βάσει των οποίων οι χρήστες είχαν προηγουμένως δώσει άπειρες εγκρίσεις.
Ο LI.FI έγραψε:
«Στις 20 Μαρτίου 2022, ένας εισβολέας εκμεταλλεύτηκε το έξυπνο συμβόλαιο του LI.FI, συγκεκριμένα τη δυνατότητα ανταλλαγής που μας επιτρέπει να πραγματοποιούμε ανταλλαγές πριν από τη γεφύρωση. Αντί να ανταλλάσσουν πραγματικά, μπόρεσαν να καλέσουν συμβόλαια συμβολαίου απευθείας στο πλαίσιο του συμβολαίου μας. Ως αποτέλεσμα της εκμετάλλευσης, όποιος έδινε άπειρη έγκριση στο συμβόλαιό μας ήταν ευάλωτος.
Σε μία μόνο συναλλαγή, η ομάδα λέει ότι ο εισβολέας μπόρεσε να κλέψει διάφορα ποσά USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO) Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), Aave (AAVE), Jarvis Network (JRT) και Dai (DAI).
Μετά την επιτυχημένη εκμετάλλευση, ο εισβολέας αντάλλαξε τα tokens σε αιθέρα (ETH), αλλά δεν έχει ακόμη ξεπλύνει τα κλεμμένα κεφάλαια τη στιγμή της σύνταξης. Το LI.FI επικοινώνησε με τον χάκερ και περιμένει απάντηση.
“LI.FI exploiter, we appreciate you pointing out the vulnerability in our contracts. We would like to discuss returning user funds and a potential bounty: [προστασία μέσω email],” wrote the team.
Το LI.FI αποζημιώνει τους χρήστες
Είναι σημαντικό ότι από τα 29 πορτοφόλια που επηρεάστηκαν από τη ληστεία, η Li Finance λέει ότι έχει αποζημιώσει 25 από αυτά (86 τοις εκατό), στο συνολικό ποσό των 80 $, και συνομιλεί με τους κατόχους των υπόλοιπων τεσσάρων πορτοφολιών (πλασματικό μέγεθος ~ $517 ια) να μετατρέψει τα χαμένα κεφάλαια σε επένδυση αγγέλου στο έργο, να μειώσει τη ζημιά στο ταμείο της LI FI.
Η ομάδα του LI FI λέει ότι έχει πλέον εντοπίσει και επιδιορθώσει την ευπάθεια στα έξυπνα συμβόλαιά της και λυπάται που δεν αφιέρωσε χρόνο για να ελέγξει διεξοδικά την πλατφόρμα πριν από τη μετάδοση.
«Με το να μην ολοκληρώσουμε έναν έλεγχο νωρίτερα, παραμελήσαμε το καθήκον μας να προσφέρουμε την υψηλότερη δυνατή ασφάλεια. Η αποστολή μας είναι να μεγιστοποιήσουμε το UX και τώρα μάθαμε οδυνηρά ότι τα μέτρα ασφαλείας μας πρέπει να βελτιωθούν δραστικά για να ακολουθήσουμε αυτό το ήθος», δήλωσε η LI.FI.
Σε σχετικές ειδήσεις, στις 15 Μαρτίου 2022, εκθέσεις προέκυψε ότι το πρωτόκολλο DeFi Deus Finance είχε υποστεί μια επίθεση φλας δανείου που επέτρεψε στους χάκερ να κλέψουν πάνω από 3 εκατομμύρια δολάρια σε κρυπτογράφηση. Και στις 18 Μαρτίου, crypto.news ανέφερε ότι η Agave and Hundred Finance έχασε 11 εκατομμύρια δολάρια από χάκερ μέσω μιας εκμετάλλευσης σφάλματος επανεισόδου.
Πηγή: https://crypto.news/li-finance-defi-protocol-600k-reimburse/