Protokol perdagangan lintas rantai LI.FI telah terkena “serangan injeksi panggilan,” platform keamanan, Beosin Alert, melaporkan pada hari Selasa. Sekitar $10 juta aset kripto, termasuk 6,3 juta USDT, 3,2 juta USDC, dan 169 ribu DAI, telah dicuri dari protokol.
Baca juga: Kraken mengungkapkan bug yang memungkinkan 'peneliti keamanan' nakal mengeksploitasi $3M
Salah satu pendiri LI.FI, Philipp Zentner, mengonfirmasi insiden tersebut di X (sebelumnya Twitter), dan mencatat bahwa hanya pengguna yang secara manual menyetel “persetujuan tak terbatas” yang terpengaruh. “Tolong jangan berinteraksi dengan aplikasi apa pun yang didukung LI.FI untuk saat ini. Kami sedang menyelidiki potensi eksploitasi,” tulis Zentner.
LI.FI diduga diretas melalui bug lama yang sama
Kerentanan ditelusuri ke fungsi “depositToGasZipERC20()” dari kontrak LI.FI. Menurut analisis Beosin, fungsi tersebut dapat menukar token tertentu dengan token platform dan menyimpannya ke dalam kontrak GasZip, namun gagal membatasi data untuk pemanggilan panggilan, yang memungkinkan penyerang menarik aset dari pengguna yang memiliki persetujuan terhadap kontrak tersebut.
Di tempat lain, platform keamanan lain Peckshield melaporkan bahwa LI.FI juga dieksploitasi dua tahun lalu karena kerentanan yang sama. “Saat menganalisis peretasan protokol LI.FI hari ini, kami melihat peretasan sebelumnya pada protokol yang sama pada 20 Maret 2022,” Peckshield memposting di X. “Bugnya pada dasarnya sama.”
Saat menganalisis peretasan @lifiprotocol hari ini, kami melihat peretasan sebelumnya pada protokol yang sama pada 20 Maret 2022.
Bugnya pada dasarnya sama. https://t.co/YcuEe4efOT
Apakah kita belajar sesuatu dari pelajaran sebelumnya? https://t.co/nV4IuX7T7j pic.twitter.com/aVB6FQ3MnT
— PeckShield Inc. (@peckshield) 16 Juli 2024
Selama peretasan protokol LI.FI tahun 2022, aset sekitar $600,000 dicuri dan dikuras dari protokol, dengan 29 dompet terpengaruh. Tim mengatakan dalam laporan post-mortem bahwa bug telah diperbaiki, dan semua pengguna yang terkena dampak telah mendapat penggantian.
Baca juga: Sejauh ini terjadi pencurian kripto senilai hampir $1,4 miliar pada tahun 2024
Sejauh ini, belum ada diskusi mengenai penggantian biaya bagi pengguna yang terkena dampak peretasan terbaru, setidaknya pada saat artikel ini ditulis. Namun, LI.FI memposting bahwa mereka sedang menyelidiki eksploitasi tersebut dan menyarankan pengguna untuk tidak berinteraksi dengan aplikasi yang didukung LI.FI untuk sementara waktu.
Insiden hari ini terjadi kurang lebih setahun setelah LI.FI mengumpulkan $17,5 juta dalam putaran pendanaan Seri A untuk memungkinkan pengguna DeFi berdagang di berbagai blockchain, tempat, dan jembatan. Ia mengklaim telah memfasilitasi lebih dari $10 miliar total volume transfer.
