Ang Li Finance (LiFi) protocol ay ang pinakabagong decentralized finance (DeFi) na platform upang maging biktima ng mga hacker. Isang butas sa pre-bridge swap smart contract ng LI.FI ang pinagsamantalahan ng rogue actor, na nagbigay-daan sa kanya na magnakaw ng iba't ibang halaga ng USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT, at DAI na may kabuuang $600k mula 29 na wallet, ayon sa isang post sa blog noong Marso 21, 2022.
Ang LI.FI Protocol ay Nagdusa ng $600k Heist
Ang LI.Fi, isang bridge aggregation protocol na may decentralized exchange (DEX) connectivity, cross-chain data messaging capabilities, at higit pa, ay dumanas ng malaking pag-atake, na nagregalo ng $600,000 na halaga ng mga digital asset sa hacker.
Ayon sa isang post sa blog ng LI.FI team, sinamantala ng isang attacker ang isang vulnerability sa swapping feature ng LI FI smart contract sa eksaktong 2:51 AM +UTC. Sinabi ng team na nakuha ng hacker ang kabuuang kontrol sa feature nitong pre-bridge swap at nakagawa ng mga smart contract call na naglipat ng mga token sa mga wallet ng mga user sa kanya, batay sa kung aling mga token contract ang mga user na dati nang nagbigay ng walang katapusang pag-apruba.
Sumulat si LI.FI:
“Noong Marso 20, 2022, sinamantala ng isang attacker ang matalinong kontrata ng LI.FI, partikular ang aming swapping feature na nagbibigay-daan sa aming magsagawa ng mga swap bago mag-bridging. Sa halip na aktwal na magpalit, nagawa nilang tumawag nang direkta sa mga kontrata ng token sa konteksto ng aming kontrata. Bilang resulta ng pagsasamantala, ang sinumang nagbigay ng walang katapusang pag-apruba sa aming kontrata ay mahina,"
Sa isang transaksyon lang, sinabi ng team na nagawang magnakaw ng attacker ng iba't ibang halaga ng USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO) Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), Aave (AAVE), Jarvis Network (JRT), at Dai (DAI).
Pagkatapos ng matagumpay na pagsasamantala, pinalitan ng umaatake ang mga token sa ether (ETH), ngunit nililinis pa ang mga ninakaw na pondo sa oras ng pagsulat. Nakipag-ugnayan ang LI.FI sa hacker at naghihintay ng tugon.
“LI.FI exploiter, pinahahalagahan namin ang pagturo mo sa kahinaan sa aming mga kontrata. Gusto naming talakayin ang mga nagbabalik na pondo ng user at isang potensyal na bounty: [protektado ng email],” isinulat ng koponan.
Ibinabalik ng LI.FI ang mga User
Ang mahalaga, sa 29 na wallet na naapektuhan ng heist, sinabi ng Li Finance na binayaran nito ang 25 sa kanila (86 percent), sa kabuuang halaga na $80k, at nakikipag-usap ito sa mga may-ari ng natitirang apat na wallet (notional size ~ $517 k) upang baguhin ang mga nawawalang pondo sa isang anghel na pamumuhunan sa proyekto, upang mabawasan ang pinsala sa treasury ng LI FI.
Sinasabi ng LI FI team na nahanap na at naayos na nito ang kahinaan sa mga smart contract nito, at pinagsisisihan ang hindi paglalaan ng oras upang masusing i-audit ang platform bago mag-live.
"Sa hindi pagtapos ng isang pag-audit nang mas maaga, napabayaan namin ang aming tungkulin na mag-alok ng pinakamataas na seguridad na posible. Ang aming misyon ay upang i-maximize ang UX, at ngayon ay masakit na natutunan namin na ang aming mga hakbang sa seguridad ay dapat na pagbutihin nang husto upang masunod ang etos na ito, "ipinahayag ng LI.FI.
Sa kaugnay na balita, noong Marso 15, 2022, ulat lumabas na ang DeFi protocol na Deus Finance ay dumanas ng isang flash loan attack na nagbigay-daan sa mga hacker na magnakaw ng mahigit $3 milyon sa crypto. At noong Marso 18, crypto.news iniulat na ang Agave at Hundred Finance ay nawalan ng $11 milyon sa mga hacker sa pamamagitan ng reentrancy bug exploit.
Pinagmulan: https://crypto.news/li-finance-defi-protocol-600k-reimburse/