Nach dem Angriff auf das Li.Fi-Protokoll, einer API zum Überbrücken und Austauschen digitaler Assets zwischen Blockchains, im Wert von 11,6 Millionen US-Dollar, veröffentlichte das Li.Fi-Team ein Update mit den technischen Details des Angriffs.
Laut dem Sicherheitsupdate war die Einführung einer neuen Smart-Contract-Facette Ausgangspunkt des bösartigen Angriffs. Eine Schwachstelle im Code ermöglichte es Benutzern, die den Smart Contract aufriefen, Aufrufe an jeden beliebigen Vertrag ohne vorherige Überprüfung zu initiieren.
Diese Funktion ist das Ergebnis eines Codes aus der LibSwap-Bibliothek, der dazu dient, Anrufe zwischen dezentralen Börsen, Dienstanbietern und Kunden zu erleichtern, um die Prozesse zur Überbrückung und zum Austausch von Vermögenswerten zu koordinieren.
Normalerweise werden diese Anrufe mit Whitelist-Adressen abgeglichen, um eine Validierung sicherzustellen. Li.Fi erklärte jedoch, dass ein menschlicher Fehler bei der Bereitstellung der anstößigen Smart-Contract-Facette die Hauptursache für die vom böswilligen Akteur ausgenutzte Schwachstelle war.
Das Li.Fi-Team bestätigte, dass der Angriff auf die Ethereum- und Arbitrum-Netzwerke erfolgte und 156 Wallets mit aktivierter Option „unendliche Genehmigungen“ betraf. Benutzer ohne diese Option waren von dem Exploit nicht betroffen.
In Stellungnahmen gegenüber Cointelegraph sagten Sprecher von Li.Fi, sie hätten den Exploit eingedämmt, die kritische Schwachstelle behoben und die zuständigen Strafverfolgungsbehörden kontaktiert, um gestohlene Gelder aufzuspüren. Zum Zeitpunkt des Schreibens dieses Artikels wurde das Problem behoben und Li.Fi funktioniert normal.
Verwandt: Lazarus transferiert Millionen aus dem 305 Mio. USD schweren DMM-Bitcoin-Hack — ZachXBT
Nicht das erste Mal
Im März 2022 wurde Li.Fi von einem ähnlichen Exploit betroffen, der Benutzer mit aktivierter Option „unendliche Genehmigung“ betraf. Die Hacker entwendeten 600.000 US-Dollar aus dem Protokoll aus 29 Wallets, bevor die Schwachstelle behoben wurde.
Das Protokoll entschädigte die Anleger rasch für ihre Verluste, indem es 24 Wallets direkt aus seiner Kasse zurückerstattete und den verbleibenden fünf Wallets einen freiwilligen Entschädigungsplan anbot, der dem ähnelte, den die frühen Angel-Investoren von Li.Fi erhielten.
Krypto-Hacks bremsen die Branche im Jahr 2024
Leider sind Hacks und Exploits nach wie vor eine Plage für die Kryptoindustrie und insbesondere den dezentralen Finanzsektor.
Einem aktuellen Bericht des Sicherheitsunternehmens Cyvers zufolge belaufen sich die Verluste durch Krypto-Exploits im Jahr 2024 auf fast 1,4 Milliarden US-Dollar, hauptsächlich verursacht durch Phishing-Angriffe, und sind seit 2023 stark angestiegen.
Magazin: Die besten und schlechtesten Länder für Kryptosteuern – plus Tipps zur Kryptosteuer