A Li Finance (LiFi) protokoll felhasználói mintegy 600 000 dollárnyi veszteséget szenvedtek el, miután egy hacker kihasználta a projekt okosszerződésében lévő hibát.
A Li Finance swap-aggregátoron egy okosszerződés kihasználása miatt 29 felhasználó mintegy 600 000 dollárnyi veszteséget szenvedett el. Az exploit március 20-án történt.
A támadó képes volt 10 különböző token különböző összegeit kivonni azokból a pénztárcákból, amelyek „végtelen jóváhagyást” adtak a Li Finance protokollnak.
Az ellopott tokenek között volt USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO), Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), AAVE (AAVE), Jarvis Reward Token (JRT) és DAI (DAI).
TLDR:
• ~$600K have been stolen from 29 wallets
• User don’t have to do anything
• Bug has been fixed and is already deployedhttps://t.co/fqOxJxDrZs— LI.FI – Powers any cross-chain strategy 🦎 (@lifiprotocol) March 21, 2022
Amikor a csapat 12 órával később értesült az exploitról, a további veszteségek megelőzése érdekében leállította a platform összes swap funkcióját.
Március 21-én a csapat kiadott egy jelentést, amelyben részletezte az eseményeket. A csapat szerint a támadó az ellopott tokeneket összesen mintegy 205 ether értékű összegre, 600 000 dollárra cserélte.
A cikk írásakor az ellopott ETH még nem került ki a támadó pénztárcájából. A LiFi biztosította a felhasználókat arról is, hogy a hibát azonosították és kijavították.
Today’s LiFi hack happed because its internal swap() function would call out to any address using whatever message the attacker passed in. This allowed the attacker to have the contract transferFrom() out the funds from anyone who had approved the contract. pic.twitter.com/NA3xW7ReUd
— Daniel Von Fange (@danielvf) March 20, 2022
A támadásban érintett 29 pénztárca közül 25-nek már megtérítették a tartalékkasszából a veszteséget. Ez a 25 pénztárca mindössze 80 000 dollárt, vagyis a teljes elveszett érték 13%-át tette ki.
A fennmaradó négy, összesen 517 000 dollárt vesztett tárca tulajdonosaival felvették a kapcsolatot, és felajánlották, hogy a protokoll befektetőjeként kárpótolják őket a veszteségük megtérítésével.
A többi nagybefektetővel azonos feltételek mellett LiFi tokeneket kapnának az egyes tárcákból származó veszteségeiknek megfelelő összegben.
Ez egyben segítene enyhíteni a platform pénztárát ért károkat. A hackerrel is felvették a kapcsolatot, és felajánlották neki a hiba-felderítési díjat a pénzösszegek visszaszolgáltatásáért.
Úgy tűnik, a támadás szerencsétlen időpontban érkezett. A Li Finance vezérigazgatója, Philipp Zentner március 21-én azt mondta, hogy „szó szerint egy hétre vagyunk az auditálásunktól”, hozzátéve, hogy „több cég is auditál minket”.
Azonban a Paradigm kriptobefektetési cég „Transmissions11″ felhasználónéven ismert kutatója szerint még a kód alapos auditálása sem biztos, hogy kiszúrta volna ezt a bizonyos hibát.
A decentralizált pénzügyi (DeFi) szektor legújabb megtámadása azt mutatja, hogy a végtelen jóváhagyások megadása az okosszerződéseknek hogyan nyitja meg a felhasználó pénzeszközeit a nagyobb kockázat előtt.
A végtelen jóváhagyások lehetővé teszik a felhasználók számára, hogy korlátlan számú alkalommal cseréljenek érméket egy decentralizált tőzsdén (DEX) anélkül, hogy további tranzakciókat kellene jóváhagyniuk, de ennek a kényelemnek hátránya is van.
Olvastad már? Megszüntetné kriptokereskedési szolgáltatásait a Binance Ontarióban
Forrás: cointelegraph.com
SZERETNÉD MEGKAPNI LEGFRISSEBB HÍREINKET? IRATKOZZ FEL HÍRLEVELÜNKRE!