ブロックチェーン間でデジタル資産を橋渡ししたり交換したりするために使用されるAPIであるLi.Fiプロトコルの1,160万ドルの不正アクセスを受けて、Li.Fiチームは侵害の技術的な詳細を概説したアップデートをリリースしました。

セキュリティアップデートによると、新しいスマートコントラクトファセットの導入が悪意のある攻撃の震源地となった。コードの脆弱性により、スマートコントラクトを呼び出すユーザーは、事前の検証なしに任意のコントラクトへの呼び出しを開始できるようになった。

この関数は、LibSwap ライブラリから取得したコードの結果であり、分散型取引所、サービス プロバイダー、およびクライアント間の呼び出しを容易にして、資産のブリッジングとスワッピングのプロセスを調整するために使用されます。

通常、これらの呼び出しは、検証を確実にするためにホワイトリストに登録されたアドレスに対してスクリーニングされます。しかし、Li.Fi は、問題のあるスマート コントラクト ファセットを展開する際の人為的エラーが、悪意のある攻撃者が悪用した脆弱性の根本的な原因であると説明しました。

Li.Fi チームは、攻撃が Ethereum および Arbitrum ネットワークで発生し、「無制限の承認」オプションが有効になっている 156 個のウォレットに影響を与えたことを確認しました。このオプションが有効になっていないユーザーは、このエクスプロイトの影響を受けませんでした。

Li.Fiの広報担当者はCointelegraphへの声明で、エクスプロイトを阻止し、重大な脆弱性に対処し、盗まれた資金を追跡するために適切な法執行機関に連絡したと述べた。本稿執筆時点では、問題は修正されており、Li.Fiは正常に動作している。

関連: Lazarus が DMM ビットコインハッキングで 3 億 500 万ドル相当の資金を移動 — ZachXBT

初めてではない

2022年3月、Li.Fiは「無制限承認」オプションをオンにしたユーザーに影響を与える同様の脆弱性攻撃に見舞われた。ハッカーらは脆弱性が修正される前に、29のウォレットから60万ドルをプロトコルから流出させた。

プロトコルは投資家の損失を迅速に補償し、24のウォレットに財務から直接返金し、残りの5つのウォレットにはLi.Fiの初期のエンジェル投資家が受けたものと同様の自主的な補償プランを提供した。

2024年に暗号通貨のハッキングが業界に打撃を与える

残念なことに、ハッキングやエクスプロイトは、特に暗号通貨業界、分散型金融セクターを悩ませ続けています。

セキュリティ会社Cyversの最近のレポートによると、2024年の暗号資産エクスプロイトによる損失は、主にフィッシング攻撃によって14億ドルに近づき、2023年以降急増しています。

雑誌: 暗号通貨の税金が最も高い国と最も低い国 — 暗号通貨の税金に関するヒントも