O protocolo de negociação entre cadeias LI.FI foi atingido por “um ataque de injeção de chamada”, informou a plataforma de segurança Beosin Alert na terça-feira. Cerca de US$ 10 milhões em ativos criptográficos, incluindo 6,3 milhões de USDT, 3,2 milhões de USDC e 169 mil DAI, foram roubados do protocolo.
Leia também: Kraken revela bug que permitiu que ‘pesquisadores de segurança’ desonestos explorassem US$ 3 milhões
O cofundador do LI.FI, Philipp Zentner, confirmou o incidente no X (antigo Twitter), observando que apenas os usuários que definiram manualmente “aprovações infinitas” foram afetados. “Por favor, não interaja com nenhum aplicativo com tecnologia LI.FI por enquanto. Estamos investigando uma exploração potencial”, escreveu Zentner.
LI.FI supostamente hackeado através do mesmo bug antigo
A vulnerabilidade foi atribuída à função “depositToGasZipERC20()” do contrato LI.FI. De acordo com a análise de Beosin, a função pode trocar tokens específicos por tokens de plataforma e depositá-los no contrato GasZip, mas não consegue restringir os dados para a invocação da chamada, o que permite ao invasor retirar ativos de usuários que possuem aprovações para o contrato.
Em outro lugar, outra plataforma de segurança, Peckshield, relatou que o LI.FI também foi explorado há dois anos devido à mesma vulnerabilidade. “Ao analisar o hack do protocolo LI.FI de hoje, notamos um hack anterior no mesmo protocolo em 20 de março de 2022”, postou Peckshield no X. “O bug é basicamente o mesmo.”
Ao analisar o hack do @lifiprotocol de hoje, notamos um hack anterior no mesmo protocolo em 20 de março de 2022.
O bug é basicamente o mesmo. https://t.co/YcuEe4efOT
Estamos aprendendo alguma coisa com as lições anteriores? https://t.co/nV4IuX7T7j pic.twitter.com/aVB6FQ3MnT
-PeckShield Inc. (@peckshield) 16 de julho de 2024
Durante o hack do protocolo LI.FI em 2022, cerca de US$ 600.000 em ativos foram roubados e drenados do protocolo, com 29 carteiras afetadas. A equipe disse em um relatório post-mortem que o bug foi corrigido e todos os usuários afetados foram reembolsados.
Leia também: 2024 registra quase US$ 1,4 bilhão em roubos de criptografia até agora
Até o momento, não há discussões sobre o reembolso dos usuários afetados pelo hack mais recente, pelo menos no momento em que este artigo foi escrito. No entanto, o LI.FI postou que está investigando a exploração e aconselhou os usuários a não interagirem com nenhum aplicativo desenvolvido pelo LI.FI enquanto isso.
O incidente de hoje ocorre pouco mais de um ano depois que a LI.FI levantou US$ 17,5 milhões em uma rodada de financiamento da Série A para permitir que os usuários do DeFi negociassem em diferentes blockchains, locais e pontes. Afirma ter facilitado mais de US$ 10 bilhões em volume total de transferências.