Das Cross-Chain-Handelsprotokoll LI.FI wurde von einem „Call-Injection-Angriff“ getroffen, berichtete die Sicherheitsplattform Beosin Alert am Dienstag. Aus dem Protokoll wurden Krypto-Assets im Wert von etwa 10 Millionen US-Dollar gestohlen, darunter 6,3 Millionen USDT, 3,2 Millionen USDC und 169.000 DAI.

Lesen Sie auch: Kraken gibt bekannt, dass durch einen Fehler betrügerischen „Sicherheitsforschern“ 3 Millionen US-Dollar erbeutet werden konnten

LI.FI-Mitbegründer Philipp Zentner bestätigte den Vorfall auf X (ehemals Twitter) und merkte an, dass nur Benutzer betroffen waren, die manuell „unbegrenzte Freigaben“ festgelegt hatten. „Bitte interagieren Sie vorerst nicht mit LI.FI-basierten Anwendungen. Wir untersuchen einen möglichen Exploit“, schrieb Zentner.

LI.FI wurde angeblich über denselben alten Bug gehackt

Die Schwachstelle wurde auf die Funktion „depositToGasZipERC20()“ des LI.FI-Vertrags zurückgeführt. Laut Beosins Analyse kann die Funktion bestimmte Token gegen Plattform-Token austauschen und sie in den GasZip-Vertrag einzahlen, aber sie schränkt die Daten für den Aufruf nicht ein, was es dem Angreifer ermöglicht, Vermögenswerte von Benutzern abzuheben, die über Genehmigungen für den Vertrag verfügen.

An anderer Stelle berichtete eine andere Sicherheitsplattform, Peckshield, dass LI.FI aufgrund derselben Schwachstelle vor zwei Jahren ebenfalls ausgenutzt wurde. „Bei der Analyse des heutigen LI.FI-Protokollhacks bemerkten wir einen früheren Hack desselben Protokolls am 20. März 2022“, postete Peckshield auf X. „Der Fehler ist im Grunde derselbe.“

Bei der Analyse des heutigen @lifiprotocol-Hacks bemerken wir einen früheren Hack desselben Protokolls am 20. März 2022.

Der Fehler ist im Grunde derselbe. https://t.co/YcuEe4efOT

Lernen wir etwas aus den vergangenen Lektionen? https://t.co/nV4IuX7T7j pic.twitter.com/aVB6FQ3MnT

— PeckShield Inc. (@peckshield) 16. Juli 2024

Beim Hack des LI.FI-Protokolls im Jahr 2022 wurden Vermögenswerte im Wert von etwa 600.000 US-Dollar gestohlen und aus dem Protokoll abgezogen, wobei 29 Wallets betroffen waren. Das Team erklärte in einem Post-Mortem-Bericht, dass der Fehler behoben und alle betroffenen Benutzer entschädigt worden seien.

Lesen Sie auch: 2024 wurden bisher fast 1,4 Milliarden US-Dollar an Krypto-Diebstählen gestohlen

Bisher gibt es keine Diskussionen über eine Rückerstattung an Benutzer, die vom jüngsten Hack betroffen sind, zumindest zum Zeitpunkt des Schreibens dieses Artikels. LI.FI hat jedoch gepostet, dass sie den Exploit untersuchen und den Benutzern geraten, in der Zwischenzeit nicht mit LI.FI-basierten Anwendungen zu interagieren.

Der heutige Vorfall ereignete sich etwas mehr als ein Jahr, nachdem LI.FI in einer Finanzierungsrunde der Serie A 17,5 Millionen US-Dollar gesammelt hatte, um DeFi-Benutzern den Handel über verschiedene Blockchains, Veranstaltungsorte und Brücken hinweg zu ermöglichen. Es wird behauptet, ein Gesamttransfervolumen von über 10 Milliarden US-Dollar ermöglicht zu haben.