LI.FI-Protokoll verliert 10 Millionen US-Dollar bei zweitem Hack aufgrund desselben alten Fehlers

Cryptopolitan · 2024-07-16T17:53:01.000Z

Das Cross-Chain-Handelsprotokoll LI.FI wurde von einem „Call-Injection-Angriff“ getroffen, berichtete die Sicherheitsplattform Beosin Alert am Dienstag. Aus dem Protokoll wurden Krypto-Assets im Wert von etwa 10 Millionen US-Dollar gestohlen, darunter 6,3 Millionen USDT, 3,2 Millionen USDC und 169.000 DAI. Lesen Sie auch: Kraken gibt bekannt, dass durch einen Fehler betrügerischen „Sicherheitsforschern“ 3 Millionen US-Dollar erbeutet werden konnten LI.FI-Mitbegründer Philipp Zentner bestätigte den Vorfall auf X (ehemals Twitter) und merkte an, dass nur Benutzer betroffen waren, die manuell „unbegrenzte Freigaben“ festgelegt hatten. „Bitte interagieren Sie vorerst nicht mit LI.FI-basierten Anwendungen. Wir untersuchen einen möglichen Exploit“, schrieb Zentner.

El protocolo de comercio entre cadenas LI.FI se ha visto afectado por "un ataque de inyección de llamadas", informó el martes la plataforma de seguridad Beosin Alert. Se han robado del protocolo unos 10 millones de dólares en criptoactivos, incluidos 6,3 millones de USDT, 3,2 millones de USDC y 169.000 DAI. 
Lea también: Kraken revela que un error permitió a "investigadores de seguridad" deshonestos explotar 3 millones de dólares
El cofundador de LI.FI, Philipp Zentner, confirmó el incidente en X (anteriormente Twitter), señalando que sólo los usuarios que habían configurado manualmente "aprobaciones infinitas" se vieron afectados. “Por favor, no interactúe con ninguna aplicación impulsada por LI.FI por ahora. Estamos investigando un posible exploit”, escribió Zentner. 
LI.FI supuestamente fue pirateado a través del mismo error de siempre
La vulnerabilidad se remonta a la función “depositToGasZipERC20()” del contrato LI.FI. Según el análisis de Beosin, la función puede intercambiar tokens específicos por tokens de plataforma y depositarlos en el contrato GasZip, pero no restringe los datos para la invocación de la llamada, lo que permite al atacante retirar activos de los usuarios que tienen aprobación del contrato.
Por otra parte, otra plataforma de seguridad, Peckshield, informó que LI.FI también fue explotado hace dos años debido a la misma vulnerabilidad. "Al analizar el hack del protocolo LI.FI de hoy, notamos un hack anterior al mismo protocolo el 20 de marzo de 2022", publicó Peckshield en X. "El error es básicamente el mismo".
Al analizar el hack @lifiprotocol de hoy, notamos un hack anterior al mismo protocolo el 20 de marzo de 2022.
El error es básicamente el mismo. https://t.co/YcuEe4efOT
¿Estamos aprendiendo algo de las lecciones pasadas? https://t.co/nV4IuX7T7j pic.twitter.com/aVB6FQ3MnT
– PeckShield Inc. (@peckshield) 16 de julio de 2024
Durante el hackeo del protocolo LI.FI de 2022, se robaron y drenaron del protocolo alrededor de $600,000 en activos, con 29 billeteras afectadas. El equipo dijo en un informe post-mortem que el error se solucionó y que todos los usuarios afectados fueron reembolsados. 
Lea también: En 2024 se registran casi 1.400 millones de dólares en robos de criptomonedas hasta el momento
Hasta el momento, no hay discusiones sobre el reembolso a los usuarios afectados por el último hack, al menos en el momento de escribir este artículo. Sin embargo, LI.FI publicó que están investigando el exploit y recomendó a los usuarios que no interactúen con ninguna aplicación impulsada por LI.FI mientras tanto. 
El incidente de hoy se produce poco más de un año después de que LI.FI recaudara 17,5 millones de dólares en una ronda de financiación Serie A para permitir a los usuarios de DeFi comerciar a través de diferentes blockchains, lugares y puentes. Afirma haber facilitado más de 10 mil millones de dólares en volumen total de transferencias.

Explora más de este creador

Lo más reciente

Explora más de este creador

Lo más reciente

Artículos populares