O protocolo Li Finance (LiFi) é a mais recente plataforma de finanças descentralizadas (DeFi) a ser vítima de hackers. Uma brecha no contrato inteligente de troca pré-ponte da LI.FI foi explorada pelo ator desonesto, permitindo que ele roubasse quantidades variadas de USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT e DAI, totalizando US $ 600k de 29 carteiras, de acordo com uma postagem no blog de 21 de março de 2022.
Protocolo LI.FI sofre roubo de US$ 600 mil
O LI.Fi, um protocolo de agregação de ponte com conectividade de troca descentralizada (DEX), recursos de mensagens de dados de cadeia cruzada e muito mais, sofreu um grande ataque, oferecendo US$ 600,000 em ativos digitais ao hacker.
De acordo com uma postagem no blog da equipe LI.FI, um invasor explorou uma vulnerabilidade no recurso de troca do contrato inteligente LI FI exatamente às 2h51 + UTC. A equipe diz que o hacker conseguiu obter controle total sobre seu recurso de troca pré-ponte e conseguiu fazer chamadas de contrato inteligente que transferiam os tokens nas carteiras dos usuários para a dele, com base em quais contratos de token os usuários haviam dado aprovações infinitas anteriormente.
LI.FI escreveu:
“Em 20 de março de 2022, um invasor explorou o contrato inteligente da LI.FI, especificamente nosso recurso de troca que nos permite realizar trocas antes da ponte. Em vez de realmente trocar, eles puderam chamar contratos de token diretamente no contexto do nosso contrato. Como resultado da exploração, qualquer um que desse aprovação infinita ao nosso contrato ficou vulnerável”, disse.
Em apenas uma transação, a equipe diz que o invasor conseguiu roubar quantidades variadas de USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO) Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), Aave (AAVE), Jarvis Network (JRT) e Dai (DAI).
Após a exploração bem-sucedida, o invasor trocou os tokens por ether (ETH), mas ainda não lavou os fundos roubados no momento da redação. O LI.FI entrou em contato com o hacker e está aguardando uma resposta.
“LI.FI exploiter, we appreciate you pointing out the vulnerability in our contracts. We would like to discuss returning user funds and a potential bounty: [email protegido],” wrote the team.
LI.FI Reembolsa Usuários
É importante ressaltar que das 29 carteiras afetadas pelo assalto, a Li Finance diz que reembolsou 25 delas (86%), no valor total de US$ 80 mil, e está conversando com os proprietários das quatro carteiras restantes (tamanho nocional ~ US$ 517). k) transformar os recursos perdidos em investimento anjo no projeto, para reduzir os danos ao tesouro do LI FI.
A equipe do LI FI diz que agora localizou e corrigiu a vulnerabilidade em seus contratos inteligentes e lamenta não ter tido tempo para auditar minuciosamente a plataforma antes de entrar em operação.
“Ao não terminar uma auditoria antes, negligenciamos nosso dever de oferecer a mais alta segurança possível. Nossa missão é maximizar o UX, e agora aprendemos dolorosamente que nossas medidas de segurança devem melhorar drasticamente para seguir esse ethos”, declarou LI.FI.
Em notícias relacionadas, em 15 de março de 2022, relatórios surgiu que o protocolo DeFi Deus Finance havia sofrido um ataque de empréstimo em flash que permitiu que os hackers roubassem mais de US $ 3 milhões em criptomoedas. E em 18 de março, cripto.notícias informou que Agave e Hundred Finance perderam US$ 11 milhões para hackers por meio de uma exploração de bug de reentrada.
Fonte: https://crypto.news/li-finance-defi-protocol-600k-reimburse/