Giao thức LI.FI mất 10 triệu USD trong vụ hack thứ hai do cùng một lỗi cũ

Cryptopolitan · 2024-07-16T17:53:01.000Z

Nền tảng bảo mật Beosin Alert đưa tin giao thức giao dịch xuyên chuỗi LI.FI đã bị tấn công bởi “một cuộc tấn công chèn lệnh gọi”. Khoảng 10 triệu đô la tài sản tiền điện tử, bao gồm 6,3 triệu USDT, 3,2 triệu USDC và 169 nghìn DAI, đã bị đánh cắp khỏi giao thức. Cũng đọc: Kraken tiết lộ lỗi cho phép 'nhà nghiên cứu bảo mật' lừa đảo khai thác 3 triệu đô la Người đồng sáng lập LI.FI, Philipp Zentner đã xác nhận sự cố trên X (trước đây là Twitter), lưu ý rằng chỉ những người dùng đã đặt “phê duyệt vô hạn” theo cách thủ công mới bị ảnh hưởng. “Hiện tại, vui lòng không tương tác với bất kỳ ứng dụng hỗ trợ LI.FI nào. Chúng tôi đang điều tra một cách khai thác tiềm năng,” Zentner viết.

Starpķēžu tirdzniecības protokolu LI.FI skāris "zvana injekcijas uzbrukums", otrdien ziņoja drošības platforma Beosin Alert. No protokola ir nozagti aptuveni 10 miljoni USD kriptoaktīvos, tostarp 6,3 miljoni USDC, 3,2 miljoni USDC un 169 000 DAI. 
Lasiet arī: Kraken atklāj kļūdu, kas ļāva negodīgiem "drošības pētniekiem" izmantot 3 miljonus ASV dolāru
LI.FI līdzdibinātājs Filips Zentners apstiprināja incidentu vietnē X (iepriekš Twitter), norādot, ka tika ietekmēti tikai tie lietotāji, kuri manuāli iestatījuši "bezgalīgus apstiprinājumus". “Lūdzu, pagaidām nedarbojieties ar LI.FI darbināmām lietojumprogrammām. Mēs izmeklējam iespējamo izmantošanu," rakstīja Zentners. 
LI.FI esot uzlauzts, izmantojot to pašu veco kļūdu
Ievainojamība tika izsekota LI.FI līguma funkcijai “depositToGasZipERC20()”. Saskaņā ar Beosin analīzi, funkcija var apmainīt norādītos marķierus pret platformas marķieriem un noguldīt tos GasZip līgumā, taču tā neierobežo zvanu izsaukšanas datus, kas ļauj uzbrucējam izņemt līdzekļus no lietotājiem, kuriem ir apstiprinājumi līgumam.
Citā vietā cita drošības platforma Peckshield ziņoja, ka LI.FI arī tika izmantots pirms diviem gadiem tās pašas ievainojamības dēļ. “Analizējot šodienas LI.FI protokola uzlaušanu, mēs pamanījām agrāku uzlaušanu tajā pašā protokolā 2022. gada 20. martā,” Pekshields publicēja vietnē X. “Kļūda būtībā ir tāda pati.”
Analizējot šodienas @lifiprotocol uzlaušanu, 2022. gada 20. martā pamanām agrāku uzlaušanu tajā pašā protokolā.
Kļūda būtībā ir tāda pati. https://t.co/YcuEe4efOT
Vai mēs kaut ko mācāmies no iepriekšējās(-ām) nodarbības(-ām)? https://t.co/nV4IuX7T7j pic.twitter.com/aVB6FQ3MnT
— PeckShield Inc. (@peckshield) 2024. gada 16. jūlijs
2022. gada LI.FI protokola uzlaušanas laikā tika nozagti un no protokola izņemti aktīvi aptuveni 600 000 $, un tika ietekmēti 29 maki. Komanda pēcnāves ziņojumā norādīja, ka kļūda ir novērsta un visiem ietekmētajiem lietotājiem tika atlīdzināta. 
Lasiet arī: 2024. gadā kriptovalūtu zādzības līdz šim ir notikušas gandrīz 1,4 miljardu dolāru apmērā
Pagaidām nav diskusiju par atlīdzību lietotājiem, kurus skārusi jaunākā uzlaušana, vismaz rakstīšanas laikā. Tomēr LI.FI paziņoja, ka izmeklē izmantošanu, un ieteica lietotājiem tikmēr nedarboties ar LI.FI darbināmu lietojumprogrammu. 
Šodienas incidents notika nedaudz vairāk nekā gadu pēc tam, kad LI.FI A sērijas finansējuma kārtā piesaistīja 17,5 miljonus ASV dolāru, lai DeFi lietotāji varētu tirgoties dažādās blokķēdes, vietās un tiltos. Tas apgalvo, ka ir veicinājis vairāk nekā 10 miljardu dolāru kopējo pārskaitījumu apjomu.

Apskati vairāk satura no autora

Jaunākās ziņas