פרוטוקול Li Finance (LiFi) הוא פלטפורמת הפיננסים המבוזרת (DeFi) העדכנית ביותר שנופלת קורבן להאקרים. פרצה בחוזה החכם של LI.FI לפני חילופי הגשר נוצלה על ידי השחקן הנוכל, ואיפשרה לו לגנוב כמויות שונות של USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT ו-DAI בסך 600 אלף דולר מ- 29 ארנקים, על פי פוסט בבלוג מ-21 במרץ 2022.
פרוטוקול LI.FI סובל שוד של 600 אלף דולר
LI.Fi, פרוטוקול צבירת גשר עם קישוריות בורסה מבוזרת (DEX), יכולות העברת הודעות נתונים חוצות שרשרת ועוד, ספג מתקפה גדולה, והעניק להאקר נכסים דיגיטליים בשווי 600,000 דולר.
לפי פוסט בבלוג של צוות LI.FI, תוקף ניצל פגיעות בתכונת ההחלפה של החוזה החכם של LI FI בדיוק בשעה 2:51 AM +UTC. הצוות אומר שההאקר הצליח להשיג שליטה מוחלטת על תכונת ההחלפה לפני הגשר שלו והצליח לבצע שיחות חוזים חכמות שהעבירו את האסימונים בארנקי המשתמשים לשלו, על סמך חוזי האסימון שמשתמשים נתנו בעבר אישורים אינסופיים.
LI.FI כתב:
"ב-20 במרץ 2022, תוקף ניצל את החוזה החכם של LI.FI, במיוחד את תכונת ההחלפה שלנו שמאפשרת לנו לבצע החלפות לפני הגישור. במקום להחליף בפועל, הם יכלו להתקשר לחוזים סמליים ישירות בהקשר של החוזה שלנו. כתוצאה מהניצול, כל מי שנתן אישור אינסופי לחוזה שלנו היה פגיע".
בעסקה אחת בלבד, הצוות אומר שהתוקף הצליח לגנוב כמויות שונות של מטבעות דולרים (USDC), מצולע (MATIC), מאגר רקטות (RPL), Gnosis (GNO) Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), Aave (AAVE), Jarvis Network (JRT), ודאי (DAI).
לאחר הניצול המוצלח, התוקף החליף את האסימונים לאתר (ETH), אך עדיין לא הלבין את הכספים הגנובים בזמן כתיבת שורות אלו. LI.FI יצרה קשר עם ההאקר ומחכה לתגובה.
“LI.FI exploiter, we appreciate you pointing out the vulnerability in our contracts. We would like to discuss returning user funds and a potential bounty: [מוגן בדוא"ל],” wrote the team.
LI.FI מחזירה למשתמשים
חשוב לציין, מתוך 29 הארנקים שהושפעו מהשוד, לי פיננסים אומרת שהיא החזירה 25 מהם (86 אחוז), בסכום כולל של 80 אלף דולר, והיא משוחחת עם הבעלים של ארבעת הארנקים הנותרים (גודל רעיוני ~ 517 $ יא) להפוך את הכספים האבודים להשקעת אנג'ל בפרויקט, כדי לצמצם את הנזק לאוצר של LI FI.
צוות LI FI אומר שכעת איתר ותיקן את הפגיעות בחוזים החכמים שלו, ומצטער שלא לקח את הזמן לבדוק את הפלטפורמה ביסודיות לפני העלייה לאוויר.
"בכך שלא סיימנו ביקורת מוקדם יותר, התרשלנו מחובתנו להציע את האבטחה הגבוהה ביותר שאפשר. המשימה שלנו היא למקסם את ה-UX, ועכשיו למדנו בכאב שאמצעי האבטחה שלנו חייבים להשתפר באופן דרסטי כדי לעקוב אחר האתוס הזה", הכריז LI.FI.
בחדשות קשורות, ב- 15 במרץ 2022, דיווחים התברר כי פרוטוקול DeFi Deus Finance ספג התקפת הלוואות בזק שאפשרה להאקרים לגנוב יותר מ-3 מיליון דולר בקריפטו. וב-18 במרץ, crypto.news דיווח כי Agave and Hundred Finance הפסידו 11 מיליון דולר להאקרים באמצעות ניצול באג חוזר.
מקור: https://crypto.news/li-finance-defi-protocol-600k-reimburse/