TLDR
LI.FI, cross-chain blockchain protokol, utrpěl hacking za 11,6 milionu dolarů, který ovlivnil 153 peněženek
Zneužití bylo způsobeno zranitelností v nově nasazeném aspektu inteligentní smlouvy
Společnost připsala porušení „lidské chybě“ při dohledu nad procesem nasazení
Ukradená aktiva zahrnovala stabilnícoiny USDC, USDT a DAI
LI.FI spolupracuje s donucovacími a bezpečnostními firmami na vymáhání finančních prostředků a plánuje odškodnění postižených uživatelů
LI.FI, populární cross-chain blockchain protokol, ztratil přibližně 11,6 milionu dolarů v kryptoměnách. Incident, který zasáhl 153 peněženek v sítích Ethereum a Arbitrum, byl připsán lidské chybě během procesu aktualizace chytré smlouvy.
Společnost LI.FI, která uživatelům umožňuje obchodovat napříč různými blockchainy, zveřejnila ve čtvrtek zprávu o incidentu, která podrobně popisuje zneužití.
Podle zprávy zranitelnost pramenila z nově nasazeného aspektu inteligentní smlouvy, který postrádal řádné kontroly ověření. Tento dohled umožnil útočníkům libovolně volat na jakoukoli smlouvu, čímž účinně obcházeli bezpečnostní opatření.
Společnost uvedla: „Po zjištění narušení bezpečnosti náš tým okamžitě aktivoval plán reakce na incidenty a úspěšně deaktivoval zranitelný aspekt ve všech řetězcích. Tato akce obsahovala hrozbu a zabránila dalšímu neoprávněnému přístupu.“
Pitva a další kroky pro partnery a komunitu @lifiprotocol: https://t.co/H4EEiLAHEc pic.twitter.com/TZmx0VtLxo
— LI.FI (@lifiprotocol) 18. července 2024
Zneužití se týkalo především peněženek, které měly nastaveno nekonečné schvalování tokenů, což je praxe, která protokolům umožňuje interakci s uživatelskými prostředky bez nutnosti opakovaných oprávnění.
Mezi aktiva vyčerpaná při útoku patřily oblíbené stablecoiny jako USDC, USDT a DAI. Společnost LI.FI zdůraznila, že peněženky používající konečná schválení, což je výchozí nastavení v jejich rozhraní API, SDK a widgetu, nebyly touto chybou zabezpečení ovlivněny.
Ve své posmrtné zprávě LI.FI vysvětlil, že hlavní příčinou zneužití byla „individuální lidská chyba při dohledu nad procesem nasazení“. Nový aspekt inteligentní smlouvy postrádal zásadní ověřovací kroky, které byly přítomny v jiných částech protokolu. Tento dohled umožnil zlomyslným aktérům zneužít zranitelnost a získat přístup k uživatelským prostředkům.
Incident vyvolal obavy ohledně bezpečnostních praktik v sektoru decentralizovaných financí (DeFi). Sleduje znepokojivý trend rostoucích narušení bezpečnosti ve vesmíru, přičemž jen v první polovině roku 2024 došlo v důsledku různých bezpečnostních incidentů ke ztrátě více než 1 miliardy dolarů v digitálních aktivech.
V reakci na porušení podnikla LI.FI několik okamžitých opatření. Doporučili uživatelům, aby odvolali schválení pro kompromitované smluvní adresy, a spolupracují s orgány činnými v trestním řízení a bezpečnostními firmami web3 na vysledování a případném získání ukradených finančních prostředků.
„Pokud jste dotčeným držitelem peněženky, vyplňte prosím následující formulář, abychom vás mohli přímo kontaktovat. Vaší spolupráce si velmi vážíme,“ napsal tým ve své zprávě.
Společnost LI.FI uvedla, že jejím hlavním zájmem je pomáhat při vymáhání finančních prostředků uživatelů. Společnost s podporou svých hlavních investorů zkoumá možnosti, jak co nejdříve plně odškodnit postižené uživatele. Tento krok má za cíl zmírnit dopad na uživatele a zachovat důvěru v protokol.
Aby se předešlo podobným incidentům v budoucnu, LI.FI nastínil několik dalších bezpečnostních opatření.
Patří mezi ně vícenásobné audity, udržování auditorské firmy na zálohách, testování penetrace back-end infrastruktury a API, odměny za chyby, rámec odezvy na incidenty a rozsáhlá bezpečnostní hodnocení integrovaných systémů třetích stran. Tyto kroky jsou v souladu s pokyny Národního institutu pro standardy a technologie (NIST).
Příspěvek „Lidská chyba“ Protokol LI.FI hlásí ztráty ve výši 11,6 milionu dolarů a bude kompenzovat uživatele appeared first on Blockonomi.