Li Finance (LiFi)-protokollet är den senaste decentraliserade finansplattformen (DeFi) som faller offer för hackare. Ett kryphål i LI.FI:s smarta kontrakt för bryggbyte utnyttjades av den oseriösa skådespelaren, vilket gjorde det möjligt för honom att stjäla olika mängder USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT och DAI på totalt 600 29 USD från 21 plånböcker, enligt ett blogginlägg den 2022 mars XNUMX.
LI.FI-protokollet drabbas av 600 XNUMX $ rån
LI.Fi, ett bryggaggregeringsprotokoll med decentraliserad utbyte (DEX)-anslutning, korskedjade datameddelandefunktioner och mer, har drabbats av en stor attack och skänker $600,000 XNUMX digitala tillgångar till hackaren.
Enligt ett blogginlägg från LI.FI-teamet utnyttjade en angripare en sårbarhet i bytesfunktionen i LI FI-smarta kontraktet exakt 2:51 +UTC. Teamet säger att hackaren lyckades få total kontroll över sin pre-bridge swap-funktion och kunde göra smarta kontraktsanrop som överförde tokens i användarnas plånböcker till hans, baserat på vilka token-kontrakt som användare tidigare hade gett oändliga godkännanden.
LI.FI skrev:
"Den 20 mars 2022 utnyttjade en angripare LI.FI:s smarta kontrakt, specifikt vår bytesfunktion som gör att vi kan utföra byten före överbryggning. Istället för att faktiskt byta kunde de anropa tokenkontrakt direkt inom ramen för vårt kontrakt. Som ett resultat av utnyttjandet var alla som gav oändligt godkännande till vårt kontrakt sårbara.”
I bara en transaktion säger teamet att angriparen kunde stjäla olika mängder USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO) Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), Aave (AAVE), Jarvis Network (JRT) och Dai (DAI).
Efter det framgångsrika utnyttjandet bytte angriparen ut tokens till eter (ETH), men har ännu inte tvättat de stulna medlen i skrivande stund. LI.FI har kontaktat hackaren och väntar på svar.
"LI.FI-exploatör, vi uppskattar att du påpekar sårbarheten i våra kontrakt. Vi skulle vilja diskutera återlämnande av användarmedel och en potentiell belöning: [e-postskyddad]", skrev teamet.
LI.FI ersätter användare
Viktigt är att av de 29 plånböckerna som drabbats av rånet, säger Li Finance att de har ersatt 25 av dem (86 procent), till ett totalt belopp av 80 517 USD, och att de pratar med ägarna till de återstående fyra plånböckerna (den tänkta storleken ~ XNUMX USD). k) att omvandla de förlorade medlen till en ängelinvestering i projektet, för att minska skadorna på LI FI:s kassa.
LI FI-teamet säger att de nu har lokaliserat och åtgärdat sårbarheten i sina smarta kontrakt och beklagar att de inte tog sig tid att noggrant granska plattformen innan de gick live.
”Genom att inte avsluta en revision tidigare försummade vi vår skyldighet att erbjuda högsta möjliga säkerhet. Vårt uppdrag är att maximera UX, och nu har vi plågsamt lärt oss att våra säkerhetsåtgärder måste förbättras drastiskt för att följa detta etos”, förklarade LI.FI.
I relaterade nyheter, den 15 mars 2022, rapporter framkom att DeFi-protokollet Deus Finance hade drabbats av en flashlånsattack som gjorde det möjligt för hackarna att stjäla över 3 miljoner dollar i krypto. Och den 18 mars, crypto.news rapporterade att Agave and Hundred Finance förlorade 11 miljoner dollar till hackare på grund av en återinträde.
Källa: https://crypto.news/li-finance-defi-protocol-600k-reimburse/