W następstwie wartego 11,6 miliona dolarów exploita protokołu Li.Fi – interfejsu API służącego do łączenia i wymiany zasobów cyfrowych między łańcuchami bloków, zespół Li.Fi opublikował aktualizację opisującą szczegóły techniczne naruszenia.

Według aktualizacji zabezpieczeń wdrożenie nowego aspektu inteligentnej umowy było punktem zerowym złośliwego ataku. Luka w kodzie umożliwiała użytkownikom wywoływanie inteligentnych kontraktów inicjowanie wywołań dowolnego kontraktu bez wcześniejszej weryfikacji.

Ta funkcja jest wynikiem kodu pobranego z biblioteki LibSwap i służy do ułatwiania połączeń pomiędzy zdecentralizowanymi giełdami, dostawcami usług i klientami w celu koordynowania procesów mostkowania i wymiany aktywów.

Zwykle połączenia te są sprawdzane pod kątem adresów znajdujących się na białej liście, aby zapewnić ich weryfikację. Li.Fi wyjaśnił jednak, że główną przyczyną luki wykorzystanej przez złośliwego aktora był błąd ludzki podczas wdrażania szkodliwego aspektu inteligentnej umowy.

Zespół Li.Fi potwierdził, że atak miał miejsce na sieci Ethereum i Arbitrum i dotknął 156 portfeli z włączoną opcją „nieskończonej liczby zatwierdzeń”. Użytkownicy bez włączonej tej opcji nie zostali dotknięci exploitem.

W oświadczeniach dla Cointelegraph rzecznicy Li.Fi stwierdzili, że udało im się powstrzymać exploita, usunąć krytyczną lukę w zabezpieczeniach i skontaktować się z właściwymi organami ścigania w celu wyśledzenia skradzionych środków. W chwili pisania tego tekstu problem został rozwiązany i Li.Fi działa normalnie.

Powiązane: Lazarus przenosi miliony z hackowania Bitcoina za 305 mln dolarów DMM — ZachXBT

Nie pierwszy raz

W marcu 2022 r. Li.Fi zostało dotknięte podobnym exploitem wpływającym na użytkowników z włączoną opcją „nieskończonego zatwierdzania”. Zanim załatano lukę, hakerzy wyssali z protokołu 600 000 dolarów z 29 portfeli.

Protokół szybko zrekompensował inwestorom ich straty, zwracając 24 portfele bezpośrednio ze swojego skarbca i oferując pozostałym pięciu portfelom dobrowolny plan rekompensat podobny do tego, który otrzymywali pierwsi aniołowie biznesu Li.Fi.

Włamania do kryptowalut spowodują zahamowanie branży w 2024 r

Niestety, hacki i exploity nadal nękają branżę kryptograficzną, a w szczególności zdecentralizowany sektor finansowy.

Według najnowszego raportu firmy Cyvers zajmującej się bezpieczeństwem straty w 2024 r. wynikające z exploitów kryptograficznych osiągnęły prawie 1,4 miliarda dolarów i wynikały głównie z ataków phishingowych, a od 2023 r. gwałtownie wzrosły.

Magazyn: Najlepsze i najgorsze kraje pod względem podatków od kryptowalut — plus wskazówki dotyczące podatków od kryptowalut