Bộ tổng hợp hoán đổi Li Finance đã trải qua một khai thác hợp đồng thông minh dẫn đến việc mất khoảng 600.000 đô la từ 29 ví của người dùng.
The exploit took place at 2:51 am UTC on March 20. The attacker was able to extract varying amounts of 10 different tokens from wallets that had given “infinite approval” to the Li Finance protocol. Among the stolen tokens were USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO), Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), AAVE (AAVE), Jarvis Reward Token (JRT), and DAI (DAI).
TLDR: • ~ $600K đã bị đánh cắp từ 29 ví • Người dùng không cần phải làm bất cứ điều gì • Lỗi đã được sửa và đã được triển khai https://t.co/fqOxJxDrZs
– LI.FI – Any-2-Any Swap (,) ( @lifiprotocol) 21 tháng Ba, 2022
Khi nhóm nghiên cứu tìm hiểu về việc khai thác 12 giờ sau đó lúc 2:15 chiều UTC, nó sẽ tắt tất cả các chức năng hoán đổi trên nền tảng để ngăn chặn bất kỳ tổn thất nào nữa.
Đến 2:50 sáng UTC ngày 21 tháng 3, nhóm nghiên cứu đã ban hành một bài mortem chi tiết các sự kiện của khai thác. Nhóm nghiên cứu nói rằng kẻ tấn công đã hoán đổi các token bị đánh cắp với tổng cộng khoảng 205 Ether ( ETH) trị giá khoảng 600.000 đô la. Tại thời điểm viết bài, ETH bị đánh cắp vẫn chưa được chuyển khỏi ví của kẻ tấn công. LiFi cũng đảm bảo với người dùng rằng lỗi đã được xác định và vá lỗi.
LiFi hack hôm nay đã xảy ra bởi vì chức năng swap () nội bộ của nó sẽ gọi ra bất kỳ địa chỉ bằng cách sử dụng bất kỳ thông báo nào mà kẻ tấn công truyền vào. Điều này cho phép kẻ tấn công có hợp đồng transferFrom () ra tiền từ bất kỳ ai đã chấp thuận hợp đồng. pic.twitter.com/NA3xW7ReUd
– Daniel Von Fange (@danielvf) Tháng Ba 20, 2022
số 29 ví bị trúng trong cuộc tấn công này, 25 chiếc đã được hoàn trả từ quỹ ngân khố vì tổn thất của họ. 25 ví đó chỉ chiếm 80.000 đô la, hoặc 13% tổng giá trị bị mất. Chủ sở hữu của bốn ví còn lại mất một $517,000 kết hợp đã được liên lạc và đưa ra một thỏa thuận để bù đắp cho họ bằng cách tôn vinh thiệt hại của họ như các nhà đầu tư thiên thần trong giao thức.
Họ sẽ nhận được mã thông báo LiFi theo các điều khoản tương tự như các nhà đầu tư thiên thần khác với số tiền tương đương với tổn thất của họ từ mỗi ví. Điều này cũng sẽ giúp giảm thiểu thiệt hại cho kho bạc của nền tảng.
Hacker cũng đã được liên lạc và cung cấp một khoản tiền thưởng lỗi để trả lại tiền.
Cuộc tấn công dường như đã đến vào một thời điểm không may. Giám đốc điều hành Li Finance Philipp Zentner nói với Cointelegraph vào ngày 21 tháng 3 rằng “Chúng tôi thực sự cách kiểm toán một tuần,” nói thêm rằng “chúng tôi có nhiều công ty kiểm toán chúng tôi.”
Tuy nhiên, ngay cả một cuộc kiểm toán kỹ lưỡng về mã có thể không chọn được lỗi cụ thể này, theo một nhà nghiên cứu “Transmissions11” tại công ty đầu tư tiền điện tử Paradigm. Ông giải thích trong một tweet ngày 21 tháng 3 rằng lỗi trong mã của Li Finance rất dễ bỏ lỡ và “tinh tế nếu bạn không ở trong tư duy đúng đắn.”
Liênquan: Giao thức DeFi ‘Không may mắn: ‘Agave and Hundred Finance DeFi được khai thác với giá 11 triệu đô la
hack mới nhất này trong lĩnh vực tài chính phi tập trung ( DeFi) cho thấy cách cung cấp sự chấp thuận vô hạn cho các hợp đồng thông minh mở ra tiền của người dùng đến một lượng rủi ro lớn hơn. Phê duyệt vô hạn cho phép người dùng trao đổi coin tại một sàn giao dịch phi tập trung ( DEX) một số lần không giới hạn mà không cần phê duyệt bất kỳ giao dịch nào nữa.
