Протоколот Li Finance (LiFi) е најновата платформа за децентрализирано финансии (DeFi) која стана жртва на хакери. Дупката во паметниот договор за замена пред мостот на LI.FI беше искористена од непријателскиот актер, овозможувајќи му да украде различни количини USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT и DAI во вкупна вредност од 600 илјади долари од 29 паричници, според блог пост од 21 март 2022 година.
Протоколот LI.FI претрпе грабеж од 600 илјади долари
LI.Fi, протокол за агрегација на мост со поврзување со децентрализирана размена (DEX), можности за размена на податоци меѓу синџирот и многу повеќе, претрпе голем напад, подарувајќи му на хакерот дигитални средства во вредност од 600,000 долари.
Според блог пост од тимот LI.FI, напаѓач искористил ранливост во функцијата за замена на паметниот договор LI FI точно во 2:51 часот +UTC. Тимот вели дека хакерот успеал да добие целосна контрола врз неговата функција за размена пред мостот и можел да остварува паметни повици со договори кои ги префрлале токените во паричниците на корисниците во неговиот, врз основа на кои договори за токени корисниците претходно давале бесконечни одобренија.
LI.FI напиша:
„На 20 март 2022 година, напаѓач го искористи паметниот договор на LI.FI, особено нашата функција за замена која ни овозможува да вршиме замени пред да се премостиме. Наместо всушност да се заменуваат, тие можеа да повикуваат токени договори директно во контекст на нашиот договор. Како резултат на експлоатацијата, секој што даде бесконечно одобрение на нашиот договор беше ранлив.
Во само една трансакција, тимот вели дека напаѓачот можел да украде различни износи на USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO) Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), Aave (AAVE), Jarvis Network (JRT) и Dai (DAI).
По успешната експлоатација, напаѓачот ги замени токените во етер (ETH), но допрва треба да ги испере украдените средства во моментот на пишувањето. LI.FI контактирал со хакерот и чека одговор.
„Експлоататор на LI.FI, цениме што укажавте на ранливоста во нашите договори. Би сакале да разговараме за враќање на корисничките средства и потенцијална награда: [заштитена по е-пошта]“, напиша тимот.
LI.FI ги надоместува корисниците
Важно е дека од 29-те паричници погодени од грабежот, Ли Фајнанс вели дека вратила 25 од нив (86 проценти), во вкупен износ од 80 илјади долари, и разговара со сопствениците на преостанатите четири паричници (имната големина ~ 517 долари и) изгубените средства да се трансформираат во ангелска инвестиција во проектот, да се намали штетата на касата на LI FI.
Тимот на LI FI вели дека сега ја лоцирал и ја поправил ранливоста во своите паметни договори и жали што не одвоиле време за темелна ревизија на платформата пред да започне во живо.
„Со тоа што не ја завршивме ревизијата порано, ја занемаривме нашата должност да понудиме најголема можна безбедност. Нашата мисија е да го максимизираме UX, а сега болно научивме дека нашите безбедносни мерки мора драстично да се подобрат за да го следат овој етос“, изјави LI.FI.
Во сродните вести, на 15 март 2022 година, извештаи се појави дека протоколот DeFi Deus Finance претрпел напад на флеш заем што им овозможи на хакерите да украдат над 3 милиони долари во крипто. И на 18 март, крипто.вести објавија дека Agave и Hundred Finance изгубиле 11 милиони долари на хакери преку експлоатација на грешка при повторното влегување.
Извор: https://crypto.news/li-finance-defi-protocol-600k-reimburse/