“Human Error” LI.FI Protocol Reports $11.6 Million Loss & Will Compensate Users

Blockonomi · 2024-07-19T06:38:16.000Z

TLDR LI.FI, a cross-chain blockchain protocol, suffered a $11.6 million hack affecting 153 wallets The exploit was caused by a vulnerability in a newly deployed smart contract facet The company attributed the breach to “human error” in overseeing the deployment process Assets stolen included USDC, USDT, and DAI stablecoins LI.FI is working with law enforcement and security firms to recover funds and plans to compensate affected users LI.FI, a popular cross-chain blockchain protocol, lost approximately $11.6 million in cryptocurrencies. The incident, which affected 153 wallets across the Ethereum and Arbitrum networks, has been attributed to human error during a smart contract update process. LI.FI, which allows users to trade across various blockchains, published an incident report on Thursday detailing the exploit. According to the report, the vulnerability stemmed from a newly deployed smart contract facet that lacked proper validation checks. This oversight allowed attackers to make arbitrary calls to any contract, effectively bypassing security measures. The company stated, “Upon detecting the security breach, our team immediately activated the incident response plan, successfully disabling the vulnerable facet across all chains. This action contained the threat and prevented any further unauthorized access.” Post-mortem and next steps for @lifiprotocol partners and community:https://t.co/H4EEiLAHEc pic.twitter.com/TZmx0VtLxo — LI.FI (@lifiprotocol) July 18, 2024 The exploit primarily affected wallets that had set infinite token approvals, a practice that allows protocols to interact with user funds without requiring repeated permissions. Assets drained in the attack included popular stablecoins such as USDC, USDT, and DAI. LI.FI emphasized that wallets using finite approvals, which is the default setting in their API, SDK, and widget, were not impacted by this vulnerability. In their post-mortem report, LI.FI explained that the root cause of the exploit was “an individual human error in overseeing the deployment process.” The new smart contract facet lacked crucial validation steps that were present in other parts of the protocol. This oversight allowed malicious actors to exploit the vulnerability and access user funds. The incident has raised concerns about the security practices in the decentralized finance (DeFi) sector. It follows a troubling trend of increasing security breaches in the space, with over $1 billion in digital assets lost due to various security incidents in the first half of 2024 alone. In response to the breach, LI.FI has taken several immediate actions. They have advised users to revoke approvals for the compromised contract addresses and are collaborating with law enforcement authorities and web3 security firms to trace and potentially recover the stolen funds. “If you are an affected wallet holder, please complete the following form so that we can get in touch with you directly. Your cooperation is greatly appreciated,” the team wrote in their report. LI.FI has stated that its primary concern is assisting in the recovery of user funds. The company, with backing from its major investors, is exploring options to fully compensate affected users as soon as possible. This move aims to mitigate the impact on users and maintain trust in the protocol. To prevent similar incidents in the future, LI.FI has outlined several additional security measures. These include multiple audits, maintaining an auditing firm on retainer, backend infrastructure and API penetration testing, bug bounties, an incident response framework, and extensive security assessments of integrated third-party systems. These steps align with the National Institute of Standards and Technology (NIST) guidelines. The post “Human Error” LI.FI Protocol Reports $11.6 Million Loss & Will Compensate Users appeared first on Blockonomi.

TLDR
LI.FI, starpķēžu blokķēdes protokols, cieta no 11,6 miljonu ASV dolāru uzlaušanas, kas ietekmēja 153 makus.
Izmantošanu izraisīja ievainojamība nesen izvietotā viedā līguma aspektā
Uzņēmums pārkāpumu skaidroja ar “cilvēcisku kļūdu”, pārraugot izvietošanas procesu
Nozagtie aktīvi bija USDC, USDT un DAI stabilās monētas
LI.FI sadarbojas ar tiesībaizsardzības un drošības firmām, lai atgūtu līdzekļus, un plāno kompensēt cietušajiem lietotājiem
LI.FI, populārs starpķēžu blokķēdes protokols, kriptovalūtās zaudēja aptuveni 11,6 miljonus USD. Incidents, kas skāra 153 makus Ethereum un Arbitrum tīklos, ir saistīts ar cilvēka kļūdu viedā līguma atjaunināšanas procesa laikā.
LI.FI, kas ļauj lietotājiem tirgoties dažādās blokķēdēs, ceturtdien publicēja ziņojumu par incidentu, kurā sīki aprakstīta izmantošana.
Saskaņā ar ziņojumu, ievainojamību izraisīja tikko izvietots viedā līguma aspekts, kuram nebija atbilstošu validācijas pārbaužu. Šī pārraudzība ļāva uzbrucējiem veikt patvaļīgus zvanus uz jebkuru līgumu, efektīvi apejot drošības pasākumus.
Uzņēmums paziņoja: “Atklājot drošības pārkāpumu, mūsu komanda nekavējoties aktivizēja incidentu reaģēšanas plānu, veiksmīgi atspējojot ievainojamo aspektu visās ķēdēs. Šī darbība saturēja draudus un novērsa turpmāku nesankcionētu piekļuvi.
Pēcnāves un nākamās darbības @lifiprotocol partneriem un kopienai: https://t.co/H4EEiLAHEc pic.twitter.com/TZmx0VtLxo
— LI.FI (@lifiprotocol) 2024. gada 18. jūlijs
Ekspluatācija galvenokārt skāra makus, kas bija iestatījuši bezgalīgus pilnvaru apstiprinājumus — šī prakse ļauj protokoliem mijiedarboties ar lietotāju līdzekļiem, neprasot atkārtotas atļaujas.
Uzbrukumā iztērētie līdzekļi ietvēra populāras stabilas monētas, piemēram, USDC, USDT un DAI. LI.FI uzsvēra, ka šī ievainojamība neietekmēja makus, kas izmanto ierobežotus apstiprinājumus, kas ir noklusējuma iestatījums to API, SDK un logrīkā.
Savā pēcnāves ziņojumā LI.FI paskaidroja, ka ekspluatācijas galvenais iemesls bija "individuāla cilvēka kļūda, pārraugot izvietošanas procesu". Jaunajam viedā līguma aspektam trūka būtisku validācijas darbību, kas bija citās protokola daļās. Šī pārraudzība ļāva ļaunprātīgiem dalībniekiem izmantot ievainojamību un piekļūt lietotāju līdzekļiem.
Incidents ir radījis bažas par drošības praksi decentralizētās finanšu (DeFi) sektorā. Tas seko satraucošai tendencei, ka palielinās drošības pārkāpumu skaits kosmosā, un 2024. gada pirmajā pusē vien dažādu drošības incidentu dēļ tika zaudēti digitālie aktīvi vairāk nekā 1 miljarda dolāru apmērā.
Reaģējot uz pārkāpumu, LI.FI ir veikusi vairākas tūlītējas darbības. Viņi ir ieteikuši lietotājiem atsaukt apstiprinājumus apdraudētajām līgumu adresēm un sadarbojas ar tiesībaizsardzības iestādēm un web3 drošības firmām, lai izsekotu un, iespējams, atgūtu nozagtos līdzekļus.
“Ja esat skarts maka īpašnieks, lūdzu, aizpildiet šo veidlapu, lai mēs varētu ar jums sazināties tieši. Jūsu sadarbība tiek augstu novērtēta,” savā ziņojumā raksta komanda.
LI.FI ir paziņojis, ka tā galvenā rūpe ir palīdzība lietotāju līdzekļu atgūšanā. Uzņēmums ar savu lielāko investoru atbalstu pēta iespējas, kā pēc iespējas ātrāk pilnībā kompensēt ietekmētos lietotājus. Šīs darbības mērķis ir mazināt ietekmi uz lietotājiem un saglabāt uzticību protokolam.
Lai novērstu līdzīgus incidentus nākotnē, LI.FI ir iezīmējis vairākus papildu drošības pasākumus.
Tie ietver vairākas revīzijas, revīzijas uzņēmuma uzturēšanu uz fiksatora, aizmugures infrastruktūras un API iespiešanās testēšanu, kļūdu piemaksas, incidentu reaģēšanas sistēmu un plašus integrēto trešo pušu sistēmu drošības novērtējumus. Šīs darbības atbilst Nacionālā standartu un tehnoloģiju institūta (NIST) vadlīnijām.
Ziņa “Cilvēka kļūda” LI.FI protokols ziņo par 11,6 miljonu dolāru zaudējumiem un atlīdzinās lietotājus, pirmo reizi parādījās vietnē Blockonomi.

Apskati vairāk satura no autora

Jaunākās ziņas