Пратакол Li Finance (LiFi) - гэта апошняя дэцэнтралізаваная фінансавая платформа (DeFi), якая стала ахвярай хакераў. Прабел у смарт-кантракце LI.FI перад мостам быў выкарыстаны махляром, што дазволіла яму скрасці розныя сумы USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT і DAI на агульную суму 600 тысяч долараў з 29 кашалькоў, згодна з паведамленнем у блогу ад 21 сакавіка 2022 г.
Пратакол LI.FI пацярпеў ад крадзяжу на 600 тысяч долараў
LI.Fi, пратакол агрэгацыі моста з падключэннем да дэцэнтралізаванага абмену (DEX), магчымасцямі абмену паведамленнямі паміж ланцужкамі дадзеных і многім іншым, падвергнуўся сур'ёзнай атацы, у выніку якой хакер атрымаў лічбавыя актывы на суму 600,000 XNUMX долараў.
Згодна з паведамленнем у блогу каманды LI.FI, зламыснік выкарыстаў уразлівасць у функцыі абмену смарт-кантракту LI FI роўна ў 2:51 раніцы +UTC. Каманда сцвярджае, што хакеру ўдалося атрымаць поўны кантроль над функцыяй абмену перад мостам і ён змог зрабіць выклікі смарт-кантрактаў, якія перавялі токены з кашалькоў карыстальнікаў у яго, на падставе якіх кантрактаў на токены карыстальнікі раней давалі бясконцыя дазволы.
LI.FI напісаў:
«20 сакавіка 2022 года зламыснік выкарыстаў смарт-кантракт LI.FI, у прыватнасці, нашу функцыю свопінгу, якая дазваляе нам выконваць свопы перад пераходам. Замест фактычнага абмену яны змаглі выклікаць кантракты на токены непасрэдна ў кантэксце нашага кантракту. У выніку эксплойту кожны, хто даваў бясконцае адабрэнне нашаму кантракту, стаў уразлівым»,
Каманда сцвярджае, што ўсяго за адну транзакцыю зламыснік змог скрасці розную колькасць USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO), Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), Aave (AAVE), Jarvis Network (JRT) і Dai (DAI).
Пасля паспяховага эксплойту зламыснік абмяняў токены на эфір (ETH), але на момант напісання артыкула яшчэ не адмываў скрадзеныя сродкі. LI.FI звязаўся з хакерам і чакае адказу.
«Эксплуататар LI.FI, мы ўдзячныя за тое, што вы ўказалі на ўразлівасць нашых кантрактаў. Мы хацелі б абмеркаваць вяртанне карыстальніцкіх сродкаў і патэнцыйную прэмію: [электронная пошта абаронена]», - напісала каманда.
LI.FI кампенсуе выдаткі карыстальнікам
Важна адзначыць, што з 29 кашалькоў, пацярпелых ад крадзяжу, Li Finance заяўляе, што кампенсавала 25 з іх (86 працэнтаў) на агульную суму 80 тысяч долараў, і вядзе размовы з уладальнікамі астатніх чатырох кашалькоў (умоўны памер ~ 517 долараў). k) пераўтварыць страчаныя сродкі ў анёльскія інвестыцыі ў праект, паменшыць шкоду казне LI FI.
Каманда LI FI заяўляе, што зараз знайшла і выправіла ўразлівасць у сваіх смарт-кантрактах, і шкадуе, што не знайшла час на дбайны аўдыт платформы перад пачаткам працы.
«Не завяршыўшы аўдыт раней, мы занядбалі сваім абавязкам прапанаваць максімальна магчымы ўзровень бяспекі. Наша місія складаецца ў тым, каб максымізаваць UX, і цяпер мы з болем даведаліся, што нашы меры бяспекі павінны рэзка палепшыцца, каб прытрымлівацца гэтага этасу», - заявіў LI.FI.
У навінах па тэме 15 сакавіка 2022 г. справаздачы высветлілася, што пратакол DeFi Deus Finance падвергся атацы флэш-пазыкі, якая дазволіла хакерам скрасці больш за 3 мільёны долараў у крыптаграфіі. А 18 сакавіка г.г. crypto.news паведамілі, што Agave and Hundred Finance страцілі 11 мільёнаў долараў з-за хакераў з-за памылкі паўторнага ўваходу.
Крыніца: https://crypto.news/li-finance-defi-protocol-600k-reimburse/