幾天前,跨鏈橋協議 LI.FI 發生遭漏洞利用損失近 1,200 萬美元的消息,並在昨日 (18) 發佈了安全事件報告,強調將全額補償受害者。然而卻被挖出,兩年前就曾因同樣漏洞,使得用戶蒙受 60 萬美元損失。

跨鏈橋 LI.FI 遭駭 1,160 萬美元

鏈上資安團隊慢霧於週二指出,監測到了 LI.FI 遭到漏洞利用,在一個小時內流出超過 1,000 萬美元資金,並呼籲使用者立即取消合約授權。

LI.FI 在當時透過 X 要求用戶停止與 LI.FI 相關應用互動,強調僅有少數錢包受到影響。

報告寫道,共有 153 個與 LI.FI 相關的錢包,在攻擊中損失 1,160 萬美元的 USDC、USDT、DAI 穩定幣及其他加密貨幣,並把責任歸因於智能合約更新期間的「團隊人為錯誤」。

團隊同時表明,在當時便已即時啟動了安全事件應對計劃:

在檢測到安全漏洞後,我們的團隊便迅速禁用了所有鏈上的漏洞合約,遏制了威脅,並防止了進一步的未授權存取。

(盤點 2024 上半年遭駭事件:損失金額高達 13.8 億美元、已是去年同期兩倍)

派盾:兩年前也被同樣漏洞攻擊,有學到教訓嗎?

據悉,該漏洞起源於新部署的智能合約,在驗證交易的過程中存在人為上的疏忽,使得升級後的合約漏洞讓攻擊者在新合約部署後的幾分鐘內,擁有對用戶錢包無需授權的讀取權限。

報告寫道,LI.FI 用戶在橋接資金時,會經由 LibSwap 程式庫調用多個去中心化交易所 (DEX) 及其他 DeFi 協議的資料,並就已批准的合約地址及函數進行驗證:

然而,由於部署新合約過程中的「人為監督疏失」,此步驟缺少了驗證及檢查。

資安公司派盾對此指出,LI.FI 似乎早在 2022 年便曾遭受同樣的攻擊,導致了 60 萬美元的損失,如今又重蹈覆徹。

團隊呼籲受害者填寫表單、積極追回資金

案發後續,LI.FI 也強調正與執法機構及 web3 安全公司合作,以試圖監控並追回遭盜的資金:

我們的首要任務是恢復使用者資金,同時也正在評估對受影響用戶進行全額賠償的方案。

團隊也呼籲本次事件的受害用戶,於連結中填寫表單,以便確認補償方案。

這篇文章 跨鏈橋協議LI.FI遭駭1,200萬美元,派盾:兩年前就被同樣漏洞駭過 最早出現於 鏈新聞 ABMedia。