„Li Finance“ (LiFi) protokolas yra naujausia decentralizuoto finansavimo (DeFi) platforma, tapusi įsilaužėlių auka. Nesąžiningas aktorius pasinaudojo LI.FI išankstinio tilto apsikeitimo išmaniojo kontrakto spraga, suteikdamas jam galimybę pavogti įvairias USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT ir DAI sumas iš viso 600 tūkst. 29 piniginės, remiantis 21 m. kovo 2022 d. tinklaraščio įrašu.
LI.FI protokolas patyrė 600 XNUMX USD vagystę
LI.Fi, tilto agregavimo protokolas su decentralizuoto mainų (DEX) jungtimi, kryžminių grandinių duomenų pranešimų siuntimo galimybėmis ir kt., patyrė didelę ataką, įsilaužėliui padovanojęs 600,000 XNUMX USD vertės skaitmeninio turto.
Remiantis LI.FI komandos tinklaraščio įrašu, užpuolikas išnaudojo LI FI išmaniosios sutarties keitimo funkcijos pažeidžiamumą lygiai 2:51 val. +UTC. Komanda teigia, kad įsilaužėliui pavyko visiškai valdyti savo išankstinio tilto apsikeitimo funkciją ir atlikti išmaniuosius sutarčių skambučius, kurie perkeldavo vartotojų piniginėse esančius žetonus į jo pinigines, kurių pagrindu vartotojai anksčiau buvo suteikę begalinius patvirtinimus.
LI.FI rašė:
„20 m. kovo 2022 d. užpuolikas pasinaudojo LI.FI išmaniąja sutartimi, konkrečiai mūsų apsikeitimo funkcija, leidžiančia atlikti apsikeitimus prieš sujungimą. Užuot iš tikrųjų apsikeitę, jie galėjo iškviesti žetonų sutartis tiesiogiai mūsų sutarties kontekste. Dėl išnaudojimo kiekvienas, kuris suteikė begalinį pritarimą mūsų sutarčiai, buvo pažeidžiamas.
Tik vienu sandoriu komanda teigia, kad užpuolikas galėjo pavogti įvairias USD monetų (USDC), daugiakampio (MATIC), raketų baseino (RPL), Gnosis (GNO) juostos (USDT), metaverse indekso (MVI), „Audius“ sumas. (AUDIO), Aave (AAVE), Jarvis Network (JRT) ir Dai (DAI).
Po sėkmingo išnaudojimo užpuolikas iškeitė žetonus į eterį (ETH), bet rašydamas šį straipsnį dar turi išplauti pavogtas lėšas. LI.FI susisiekė su įsilaužėliu ir laukia atsakymo.
„LI.FI išnaudotoju, dėkojame, kad atkreipėte dėmesį į mūsų sutarčių pažeidžiamumą. Norėtume aptarti vartotojų lėšų grąžinimą ir galimą premiją: [apsaugotas el. paštu]“, – rašė komanda.
LI.FI kompensuoja naudotojams
Svarbu tai, kad iš 29 piniginių, nukentėjusių nuo vagystės, „Li Finance“ teigia, kad kompensavo 25 iš jų (86 proc.), kurių bendra suma – 80 tūkst. k) prarastas lėšas transformuoti į angelo investiciją į projektą, sumažinti žalą LI FI iždui.
LI FI komanda teigia, kad dabar nustatė ir ištaisė pažeidžiamumą savo išmaniuosiuose sutarčiuose ir apgailestauja, kad neskyrė laiko nuodugniai platformos patikrinimui prieš pradedant naudoti.
„Nebaigdami audito anksčiau, nesilaikėme savo pareigos pasiūlyti kuo didesnį saugumą. Mūsų misija yra maksimaliai padidinti UX, o dabar skaudžiai sužinojome, kad mūsų saugumo priemonės turi būti drastiškai patobulintos, kad būtų laikomasi šio etoso“, – pareiškė LI.FI.
Susijusiose naujienose 15 m. kovo 2022 d. ataskaitos Paaiškėjo, kad DeFi protokolas Deus Finance patyrė skubios paskolos ataką, kuri leido įsilaužėliams pavogti daugiau nei 3 milijonus dolerių kriptovaliutų. Ir kovo 18 d. crypto.news pranešė, kad „Agave and Hundred Finance“ prarado 11 milijonų dolerių įsilaužėliams dėl pakartotinio įsilaužimo klaidų.
Šaltinis: https://crypto.news/li-finance-defi-protocol-600k-reimburse/