TLDR
LI.FI, protokol blockchain lintas rantai, mengalami peretasan senilai $11.6 juta yang memengaruhi 153 dompet
Eksploitasi ini disebabkan oleh kerentanan dalam aspek kontrak pintar yang baru diterapkan
Perusahaan mengaitkan pelanggaran tersebut dengan “kesalahan manusia” dalam mengawasi proses penerapan
Aset yang dicuri termasuk stablecoin USDC, USDT, dan DAI
LI.FI bekerja sama dengan firma penegakan hukum dan keamanan untuk memulihkan dana dan berencana memberikan kompensasi kepada pengguna yang terkena dampak
LI.FI, protokol blockchain lintas rantai yang populer, kehilangan sekitar $11.6 juta dalam mata uang kripto. Insiden tersebut, yang mempengaruhi 153 dompet di seluruh jaringan Ethereum dan Arbitrum, disebabkan oleh kesalahan manusia selama proses pembaruan kontrak pintar.
LI.FI, yang memungkinkan pengguna untuk berdagang di berbagai blockchain, menerbitkan laporan insiden pada hari Kamis yang merinci eksploitasi tersebut.
Menurut laporan tersebut, kerentanan berasal dari aspek kontrak pintar yang baru diterapkan dan tidak memiliki pemeriksaan validasi yang tepat. Pengawasan ini memungkinkan penyerang melakukan panggilan sewenang-wenang ke kontrak mana pun, sehingga secara efektif mengabaikan langkah-langkah keamanan.
Perusahaan menyatakan, “Setelah mendeteksi pelanggaran keamanan, tim kami segera mengaktifkan rencana respons insiden, yang berhasil menonaktifkan aspek rentan di semua rantai. Tindakan ini mengandung ancaman dan mencegah akses tidak sah lebih lanjut.”
Post-mortem dan langkah selanjutnya untuk mitra dan komunitas @lifiprotocol:https://t.co/H4EEiLAHEc pic.twitter.com/TZmx0VtLxo
— LI.FI (@lifiprotocol) 18 Juli 2024
Eksploitasi ini terutama memengaruhi dompet yang telah menetapkan persetujuan token tanpa batas, sebuah praktik yang memungkinkan protokol berinteraksi dengan dana pengguna tanpa memerlukan izin berulang.
Aset yang terkuras dalam serangan itu termasuk stablecoin populer seperti USDC, USDT, dan DAI. LI.FI menekankan bahwa dompet yang menggunakan persetujuan terbatas, yang merupakan pengaturan default di API, SDK, dan widgetnya, tidak terpengaruh oleh kerentanan ini.
Dalam laporan post-mortem mereka, LI.FI menjelaskan bahwa akar penyebab eksploitasi tersebut adalah “kesalahan manusia dalam mengawasi proses penerapan.” Sisi kontrak pintar yang baru tidak memiliki langkah-langkah validasi penting yang ada di bagian lain dari protokol. Pengawasan ini memungkinkan pelaku jahat mengeksploitasi kerentanan dan mengakses dana pengguna.
Insiden tersebut menimbulkan kekhawatiran tentang praktik keamanan di sektor keuangan terdesentralisasi (DeFi). Hal ini mengikuti tren peningkatan pelanggaran keamanan yang meresahkan, dengan lebih dari $1 miliar aset digital hilang karena berbagai insiden keamanan pada paruh pertama tahun 2024 saja.
Menanggapi pelanggaran tersebut, LI.FI telah mengambil beberapa tindakan segera. Mereka telah menyarankan pengguna untuk mencabut persetujuan alamat kontrak yang disusupi dan bekerja sama dengan otoritas penegak hukum dan perusahaan keamanan web3 untuk melacak dan kemungkinan memulihkan dana yang dicuri.
“Jika Anda adalah pemegang dompet yang terkena dampak, harap lengkapi formulir berikut agar kami dapat menghubungi Anda secara langsung. Kerja sama Anda sangat dihargai,” tulis tim dalam laporannya.
LI.FI telah menyatakan bahwa perhatian utamanya adalah membantu pemulihan dana pengguna. Perusahaan, dengan dukungan dari investor besar, sedang menjajaki opsi untuk memberikan kompensasi penuh kepada pengguna yang terkena dampak sesegera mungkin. Langkah ini bertujuan untuk memitigasi dampak terhadap pengguna dan menjaga kepercayaan terhadap protokol.
Untuk mencegah kejadian serupa di masa mendatang, LI.FI telah menguraikan beberapa langkah pengamanan tambahan.
Hal ini mencakup beberapa audit, mempertahankan perusahaan audit pada penahan, infrastruktur backend dan pengujian penetrasi API, bug bounty, kerangka respons insiden, dan penilaian keamanan ekstensif terhadap sistem pihak ketiga yang terintegrasi. Langkah-langkah ini sejalan dengan pedoman Institut Nasional Standar dan Teknologi (NIST).
Pos “Kesalahan Manusia” Protokol LI.FI Melaporkan Kerugian $11.6 Juta & Akan Memberikan Kompensasi kepada Pengguna muncul pertama kali di Blockonomi.
