TLDR
LI.FI, un protocolo blockchain entre cadenas, sufrió un hackeo de 11,6 millones de dólares que afectó a 153 billeteras
El exploit fue causado por una vulnerabilidad en una faceta de contrato inteligente recientemente implementada.
La empresa atribuyó la infracción a un “error humano” al supervisar el proceso de implementación.
Los activos robados incluyeron monedas estables USDC, USDT y DAI.
LI.FI está trabajando con empresas de seguridad y aplicación de la ley para recuperar fondos y planea compensar a los usuarios afectados.
LI.FI, un popular protocolo blockchain entre cadenas, perdió aproximadamente 11,6 millones de dólares en criptomonedas. El incidente, que afectó a 153 billeteras en las redes Ethereum y Arbitrum, se atribuyó a un error humano durante un proceso de actualización de contrato inteligente.
LI.FI, que permite a los usuarios comerciar a través de varias cadenas de bloques, publicó un informe del incidente el jueves que detalla el exploit.
Según el informe, la vulnerabilidad surgió de una faceta de contrato inteligente recientemente implementada que carecía de controles de validación adecuados. Este descuido permitió a los atacantes realizar llamadas arbitrarias a cualquier contrato, eludiendo efectivamente las medidas de seguridad.
La compañía declaró: “Al detectar la violación de seguridad, nuestro equipo activó inmediatamente el plan de respuesta a incidentes, deshabilitando con éxito la faceta vulnerable en todas las cadenas. Esta acción contuvo la amenaza e impidió cualquier acceso no autorizado adicional”.
Post-mortem y próximos pasos para los socios y la comunidad de @lifiprotocol: https://t.co/H4EEiLAHEc pic.twitter.com/TZmx0VtLxo
– LI.FI (@lifiprotocol) 18 de julio de 2024
El exploit afectó principalmente a carteras que habían establecido aprobaciones de tokens infinitas, una práctica que permite a los protocolos interactuar con los fondos de los usuarios sin requerir permisos repetidos.
Los activos drenados en el ataque incluyeron monedas estables populares como USDC, USDT y DAI. LI.FI enfatizó que las billeteras que utilizan aprobaciones finitas, que es la configuración predeterminada en su API, SDK y widget, no se vieron afectadas por esta vulnerabilidad.
En su informe post-mortem, LI.FI explicó que la causa principal del exploit fue "un error humano individual al supervisar el proceso de implementación". La nueva faceta del contrato inteligente carecía de pasos de validación cruciales que estaban presentes en otras partes del protocolo. Esta supervisión permitió a actores maliciosos explotar la vulnerabilidad y acceder a los fondos de los usuarios.
El incidente ha generado preocupación sobre las prácticas de seguridad en el sector de las finanzas descentralizadas (DeFi). Sigue una tendencia preocupante de crecientes violaciones de seguridad en el espacio, con más de mil millones de dólares en activos digitales perdidos debido a varios incidentes de seguridad solo en la primera mitad de 2024.
En respuesta a la infracción, LI.FI ha tomado varias acciones inmediatas. Han aconsejado a los usuarios que revoquen las aprobaciones de las direcciones de contrato comprometidas y están colaborando con las autoridades policiales y las empresas de seguridad web3 para rastrear y potencialmente recuperar los fondos robados.
“Si usted es un titular de billetera afectado, complete el siguiente formulario para que podamos comunicarnos con usted directamente. Su cooperación es muy apreciada”, escribió el equipo en su informe.
LI.FI ha declarado que su principal preocupación es ayudar en la recuperación de los fondos de los usuarios. La empresa, con el respaldo de sus principales inversores, está explorando opciones para compensar completamente a los usuarios afectados lo antes posible. Esta medida tiene como objetivo mitigar el impacto en los usuarios y mantener la confianza en el protocolo.
Para evitar incidentes similares en el futuro, LI.FI ha descrito varias medidas de seguridad adicionales.
Estos incluyen múltiples auditorías, el mantenimiento de una empresa de auditoría sobre anticipos, infraestructura de backend y pruebas de penetración de API, recompensas por errores, un marco de respuesta a incidentes y evaluaciones exhaustivas de seguridad de sistemas integrados de terceros. Estos pasos se alinean con las pautas del Instituto Nacional de Estándares y Tecnología (NIST).
La publicación "Error humano" El protocolo LI.FI informa una pérdida de $ 11,6 millones y compensará a los usuarios apareció por primera vez en Blockonomi.
