Протокол Li Finance (LiFi) — це остання децентралізована фінансова платформа (DeFi), яка стала жертвою хакерів. Зловмисник скористався лазівкою в розумному контракті LI.FI перед заміною, що дозволило йому вкрасти різну кількість USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT і DAI на загальну суму 600 тисяч доларів. 29 гаманців, згідно з повідомленням у блозі від 21 березня 2022 року.
Протокол LI.FI зазнав пограбування на 600 тисяч доларів
LI.Fi, бриджовий протокол агрегації з підключенням до децентралізованого обміну (DEX), можливостями міжланцюгового обміну даними тощо, зазнав серйозної атаки, подарувавши хакеру цифрові активи на суму 600,000 XNUMX доларів.
Згідно з повідомленням у блозі команди LI.FI, зловмисник скористався вразливістю функції заміни смарт-контракту LI FI рівно о 2:51 +UTC. Команда каже, що хакеру вдалося отримати повний контроль над своєю функцією переміщення перед мостом і зміг здійснити виклики смарт-контрактів, які передавали токени з гаманців користувачів до його, на основі яких контрактів на токен користувачі раніше надавали нескінченні схвалення.
LI.FI написав:
«20 березня 2022 року зловмисник скористався смарт-контрактом LI.FI, зокрема нашою функцією обміну, яка дозволяє нам виконувати заміни перед перемиканням. Замість фактичного обміну, вони змогли викликати контракти токенів безпосередньо в контексті нашого контракту. В результаті експлойту кожен, хто дав безкінечне схвалення нашого контракту, був уразливим»,
Команда каже, що за одну транзакцію зловмисник зміг вкрасти різну кількість монет доларів США (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO), Tether (USDT), Metaverse Index (MVI), Audius. (AUDIO), Aave (AAVE), Jarvis Network (JRT) і Dai (DAI).
Після успішного експлойту зловмисник обміняв токени на ефір (ETH), але на момент написання статті ще не відмив вкрадені кошти. LI.FI зв’язався з хакером і чекає відповіді.
«Експлуататор LI.FI, ми вдячні за те, що ви вказали на вразливість у наших контрактах. Ми хотіли б обговорити повернення коштів користувача та потенційну премію: [захищено електронною поштою]”, – написала команда.
LI.FI відшкодовує користувачам
Важливо, що з 29 гаманців, постраждалих від пограбування, Li Finance стверджує, що відшкодувала 25 з них (86 відсотків) на загальну суму 80 тисяч доларів, і розмовляє з власниками решти чотирьох гаманців (умовний розмір ~ 517 доларів США). k) перетворити втрачені кошти на інвестиції ангела в проект, зменшити шкоду скарбниці LI FI.
Команда LI FI каже, що тепер знайшла та виправила вразливість у своїх смарт-контрактах, і шкодує, що не знайшла часу на ретельний аудит платформи перед запуском.
«Не завершивши аудит раніше, ми знехтували своїм обов’язком запропонувати найвищий можливий рівень безпеки. Наша місія полягає в тому, щоб максимізувати UX, і тепер ми з болем усвідомили, що наші заходи безпеки повинні різко покращитися, щоб дотримуватись цього етосу», — заявив LI.FI.
У відповідних новинах, 15 березня 2022 р. звіти З'ясувалося, що протокол DeFi Deus Finance зазнав флеш-атаки, яка дозволила хакерам вкрасти понад 3 мільйони доларів у криптовалютах. А 18 березня ц. crypto.news повідомили, що Agave and Hundred Finance втратили 11 мільйонів доларів через хакери через помилку повторного входу.
Джерело: https://crypto.news/li-finance-defi-protocol-600k-reimburse/