TLDR
Protokol DeFi Li.Fi diretas sekitar $11 juta dalam Ethereum dan stablecoin.
Eksploitasi ini menargetkan pengguna yang secara manual menetapkan persetujuan tak terbatas pada akun mereka.
Li.Fi telah membendung eksploitasi tersebut dan mengatakan pengguna tidak lagi berisiko.
Serangan tersebut mungkin mengeksploitasi kerentanan di jembatan Li.Fi.
Ini bukan masalah keamanan pertama untuk Li.Fi, yang kehilangan $600.000 dalam insiden tahun 2022.
Pada 16 Juli 2024, protokol keuangan terdesentralisasi (DeFi) lintas rantai Li.Fi mengalami pelanggaran keamanan yang signifikan. Peretas berhasil mengeksploitasi kerentanan dalam sistem, yang mengakibatkan hilangnya mata uang kripto senilai sekitar $11 juta.
Dana yang dicuri sebagian besar terdiri dari Ethereum (ETH) dan berbagai stablecoin, termasuk USDC, USDT, dan DAI. Perusahaan keamanan blockchain CertiK awalnya melaporkan kerugian hampir $9 juta, tetapi Li.Fi kemudian mengonfirmasi kepada Decrypt bahwa jumlah total yang dicuri mendekati $11 juta.
PERINGATAN@lifiprotocol, Sistem kami telah melaporkan transaksi mencurigakan yang melibatkan https://t.co/3LzbDK99Ed Anda
Kami menyarankan pengguna untuk mencabut persetujuan mereka untuk: 0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae
Lebih dari $8 juta telah terkuras sejauh ini dari pengguna dan sebagian besar berupa stablecoin!… pic.twitter.com/zsj9DZWnpU
—Peringatan Cyvers(@CyversAlerts) 16 Juli 2024
Li.Fi, yang memungkinkan pengguna untuk berdagang lintas blockchain, tempat, dan jembatan yang berbeda, dengan cepat menanggapi insiden tersebut. Tim protokol mengumumkan di platform media sosial X (sebelumnya Twitter) bahwa mereka sedang menyelidiki potensi eksploitasi dan mendesak pengguna untuk tidak berinteraksi dengan aplikasi bertenaga Li.Fi apa pun hingga pemberitahuan lebih lanjut.
Menurut Li.Fi, eksploitasi tersebut tampaknya menargetkan pengguna yang telah menyesuaikan pengaturan akun mereka secara manual untuk memungkinkan "persetujuan tak terbatas." Pengaturan ini pada dasarnya memberikan kontrak pintar akses tak terbatas ke dana pengguna, yang dapat berisiko jika kontrak tersebut dikompromikan.
Eksploitasi kontrak pintar hari ini telah diatasi dan aspek kontrak pintar yang terpengaruh dinonaktifkan.
Saat ini tidak ada risiko lebih lanjut bagi pengguna.
Satu-satunya dompet yang terpengaruh adalah yang diatur untuk persetujuan tak terbatas, dan hanya mewakili sejumlah kecil pengguna.
Kami sedang terlibat…
— LI.FI (@lifiprotocol) 16 Juli 2024
Perusahaan keamanan kripto Decurity menyatakan bahwa akar penyebab eksploitasi tersebut kemungkinan adalah kerentanan pada jembatan Li.Fi. Mereka menunjuk pada fungsi tertentu dalam kontrak pintar yang diterapkan hanya lima hari sebelum serangan, yang memungkinkan "panggilan sewenang-wenang dengan data yang dikendalikan pengguna."
https://t.co/k9LgVmliv7 jembatan dieksploitasi senilai ~8 juta USD.
Akar permasalahannya adalah kemungkinan adanya panggilan sembarangan dengan data yang dikontrol pengguna melalui `depositToGasZipERC20()` di GasZipFacet yang diterapkan 5 hari lalu!
Salah satu tx hack: https://t.co/ILPFpZnJH8 pic.twitter.com/qpTmyFnCx8
— Decurity (@DecurityHQ) 16 Juli 2024
Li.Fi telah berhasil mengatasi eksploitasi tersebut dan menonaktifkan aspek kontrak pintar yang terpengaruh. Protokol tersebut meyakinkan pengguna bahwa saat ini tidak ada risiko lebih lanjut, dengan menekankan bahwa hanya sejumlah kecil pengguna yang telah menetapkan persetujuan tak terbatas yang terpengaruh.
Menanggapi insiden tersebut, Li.Fi menyarankan pengguna untuk segera menggunakan "situs web pencabutan akun yang tersembunyi" dan memberikan daftar alamat tertentu yang harus dicabut. Mereka juga menyarankan agar pengguna mengunjungi scan.li.fi untuk memeriksa apakah akun mereka telah dibobol.
Ini bukan pertama kalinya Li.Fi menghadapi masalah keamanan. Pada tahun 2022, bug pada fitur pertukaran protokol mengakibatkan kerugian mata uang kripto sebesar $600.000. Sifat insiden yang berulang ini menyoroti tantangan keamanan berkelanjutan yang dihadapi oleh protokol DeFi.
Peretasan Li.Fi turut menyumbang peningkatan jumlah pencurian kripto pada tahun 2024. Menurut laporan firma intelijen blockchain TRM Labs, para peretas mencuri lebih dari dua kali lipat mata uang kripto pada paruh pertama tahun 2024 dibandingkan dengan periode yang sama pada tahun 2023.
Nilai total pencurian kripto mencapai $1,38 miliar hingga 24 Juni 2024, hampir menyamai $1,7 miliar yang dicuri sepanjang tahun 2023.
Tim Li.Fi menyatakan bahwa mereka tengah bekerja sama dengan pihak penegak hukum dan pihak ketiga terkait, termasuk tim keamanan industri, untuk melacak dana yang dicuri. Mereka berjanji akan segera menerbitkan analisis post-mortem yang lebih terperinci mengenai insiden tersebut.
Postingan Protokol DeFi Li.Fi Menjadi Korban Peretasan Senilai $11 Juta akibat Eksploitasi Kontrak Cerdas muncul pertama kali di Blockonomi.