Meziřetězový obchodní protokol LI.FI byl zasažen „útokem injekce volání“, oznámila v úterý bezpečnostní platforma Beosin Alert. Z protokolu bylo ukradeno asi 10 milionů dolarů v krypto aktivech, včetně 6,3 milionů USDT, 3,2 milionů USDC a 169 tisíc DAI. 

Čtěte také: Kraken odhalil chybu, která umožnila nepoctivým „bezpečnostním výzkumníkům“ zneužít 3 miliony dolarů

Spoluzakladatel LI.FI Philipp Zentner potvrdil incident na X (dříve Twitter) a poznamenal, že postiženi byli pouze uživatelé, kteří ručně nastavili „nekonečná schválení“. „Prosím, zatím neinteragujte s žádnými aplikacemi poháněnými LI.FI. Vyšetřujeme potenciální zneužití,“ napsal Zentner. 

LI.FI se údajně nabouralo přes stejnou starou chybu

Chyba zabezpečení byla vysledována k funkci „depositToGasZipERC20()“ smlouvy LI.FI. Podle analýzy společnosti Beosin může funkce vyměnit zadané tokeny za tokeny platformy a uložit je do smlouvy GasZip, ale nedokáže omezit data pro vyvolání volání, což útočníkovi umožňuje stáhnout aktiva od uživatelů, kteří mají souhlas ke smlouvě.

Jinde jiná bezpečnostní platforma Peckshield oznámila, že LI.FI byl také zneužit před dvěma lety kvůli stejné zranitelnosti. "Při analýze dnešního hacku protokolu LI.FI jsme si všimli dřívějšího hacku na stejném protokolu 20. března 2022," napsal Peckshield na X. "Chyba je v podstatě stejná."

Při analýze dnešního hacku @lifiprotocol jsme si všimli dřívějšího hacku na stejném protokolu 20. března 2022.

Chyba je v podstatě stejná. https://t.co/YcuEe4efOT

Naučili jsme se něco z minulé lekce (lekcí)? https://t.co/nV4IuX7T7j pic.twitter.com/aVB6FQ3MnT

— PeckShield Inc. (@peckshield) 16. července 2024

Během hacku protokolu LI.FI v roce 2022 bylo ukradeno aktiva v hodnotě asi 600 000 dolarů a z protokolu byla vyčerpána, přičemž bylo postiženo 29 peněženek. Tým v posmrtné zprávě uvedl, že chyba byla opravena a všichni dotčení uživatelé byli odškodněni. 

Čtěte také: V roce 2024 bylo dosud zaznamenáno téměř 1,4 miliardy dolarů v krádežích kryptoměn

Zatím se nevedou žádné diskuse o proplácení peněz uživatelům postiženým nejnovějším hackem, alespoň v době psaní tohoto článku. Společnost LI.FI však zveřejnila, že prošetřuje zneužití, a doporučila uživatelům, aby mezitím neinteragovali s žádnou aplikací využívající LI.FI. 

K dnešnímu incidentu došlo něco málo přes rok poté, co LI.FI získala 17,5 milionu dolarů ve finančním kole série A, aby umožnila uživatelům DeFi obchodovat napříč různými blockchainy, dějišti a mosty. Tvrdí, že zprostředkovala více než 10 miliard dolarů v celkovém objemu převodů.