Il protocollo Li Finance (LiFi) è l'ultima piattaforma di finanza decentralizzata (DeFi) vittima degli hacker. Una scappatoia nel contratto intelligente di scambio pre-bridge di LI.FI è stata sfruttata dall'attore canaglia, consentendogli di rubare quantità variabili di USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT e DAI per un totale di $ 600 da 29 portafogli, secondo un post sul blog del 21 marzo 2022.
Il protocollo LI.FI subisce una rapina da $ 600
LI.Fi, un protocollo di aggregazione bridge con connettività di scambio decentralizzato (DEX), funzionalità di messaggistica dati cross-chain e altro, ha subito un grave attacco, donando $ 600,000 di risorse digitali all'hacker.
Secondo un post sul blog del team LI.FI, un utente malintenzionato ha sfruttato una vulnerabilità nella funzione di scambio dello smart contract LI FI esattamente alle 2:51 AM +UTC. Il team afferma che l'hacker è riuscito a ottenere il controllo totale sulla sua funzione di scambio pre-bridge ed è stato in grado di effettuare chiamate di contratti intelligenti che trasferivano i token nei portafogli degli utenti al suo, in base ai quali gli utenti di contratti di token avevano precedentemente concesso infinite approvazioni.
LI.FI ha scritto:
“Il 20 marzo 2022, un utente malintenzionato ha sfruttato lo smart contract di LI.FI, in particolare la nostra funzione di scambio che ci consente di eseguire scambi prima del bridging. Invece di scambiare effettivamente, sono stati in grado di chiamare contratti token direttamente nel contesto del nostro contratto. Come risultato dell'exploit, chiunque desse un'approvazione infinita al nostro contratto era vulnerabile",
In una sola transazione, il team afferma che l'attaccante è stato in grado di rubare quantità variabili di USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO) Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), Aave (AAVE), Jarvis Network (JRT) e Dai (DAI).
Dopo l'exploit riuscito, l'attaccante ha scambiato i token in ether (ETH), ma al momento della scrittura deve ancora riciclare i fondi rubati. LI.FI ha contattato l'hacker ed è in attesa di risposta.
“Sfruttatore LI.FI, apprezziamo che tu abbia sottolineato la vulnerabilità nei nostri contratti. Vorremmo discutere della restituzione dei fondi degli utenti e di una potenziale ricompensa: [email protected]", ha scritto la squadra.
LI.FI Rimborsa gli Utenti
È importante sottolineare che dei 29 portafogli colpiti dalla rapina, Li Finance afferma di averne rimborsati 25 (86%), per un importo totale di $ 80, e sta parlando con i proprietari dei restanti quattro portafogli (dimensione nozionale ~ $ 517 k) trasformare i fondi perduti in un investimento angelo nel progetto, per ridurre il danno alla tesoreria di LI FI.
Il team LI FI afferma di aver ora individuato e corretto la vulnerabilità nei suoi contratti intelligenti e si rammarica di non aver dedicato del tempo a controllare a fondo la piattaforma prima di andare in diretta.
“Non terminando un audit prima, abbiamo trascurato il nostro dovere di offrire la massima sicurezza possibile. La nostra missione è massimizzare l'UX e ora abbiamo dolorosamente appreso che le nostre misure di sicurezza devono migliorare drasticamente per seguire questa etica", ha dichiarato LI.FI.
Nelle notizie correlate, il 15 marzo 2022, rapporti è emerso che il protocollo DeFi Deus Finance aveva subito un attacco di prestito flash che ha consentito agli hacker di rubare oltre 3 milioni di dollari in criptovalute. E il 18 marzo cripto.news ha riferito che Agave e Hundred Finance hanno perso $ 11 milioni a causa di hacker a causa di un bug di rientro.
Fonte: https://crypto.news/li-finance-defi-protocol-600k-reimburse/