Li.Fi releases incident report following $11M hack

Cointelegraph · 2024-07-18T19:54:44.000Z

Following the $11.6 million exploit of the Li.Fi protocol, an API used to bridge and swap digital assets across blockchains, the Li.Fi team released an update outlining the technical details of the breach. According to the security update, the deployment of a new smart contract facet was ground zero for the malicious attack. A vulnerability in the code allowed users calling the smart contract to initiate calls to any contract without prior validation. This function is a result of code taken from the LibSwap library, used to facilitate calls between decentralized exchanges, service providers, and clients to coordinate the asset bridging and swapping processes. Normally, these calls are screened against whitelisted addresses to ensure validation. However, Li.Fi explained that human error in deploying the offending smart contract facet was the root cause of the vulnerability exploited by the malicious actor. The Li.Fi team confirmed the attack occurred on the Ethereum and Arbitrum networks and affected 156 wallets with the “infinite approvals” option turned on. Users without this option turned on were not affected by the exploit. Source: Li.Fi protocol In statements to Cointelegraph, spokespeople for Li.Fi said they contained the exploit, addressed the critical vulnerability, and contacted the proper law enforcement authorities to trace stolen funds. At the time of this writing, the issue has been fixed, and Li.Fi is operating normally. Related: Lazarus is moving millions from $305M DMM Bitcoin hack — ZachXBT Not the first time In March 2022, Li.Fi was hit by a similar exploit affecting users with the “infinite approval” option turned on. The hackers drained $600,000 from the protocol from 29 wallets before the vulnerability was addressed. The protocol was quick to reimburse investors for their losses, refunding 24 wallets directly from its treasury and offering the remaining five wallets a voluntary compensation plan akin to that received by early angel investors of Li.Fi. Crypto hacks put the damper on the industry in 2024 Unfortunately, hacks and exploits continue to plague the crypto industry and the decentralized financial sector, in particular. A chart comparing 2022-2024 losses from crypto hacks. Source: TRM. According to a recent report from security firm Cyvers, 2024 losses from crypto exploits are nearing $1.4 billion, driven primarily by phishing attacks, and have risen sharply since 2023. Magazine: Best and worst countries for crypto taxes — plus crypto tax tips

Após a exploração de US$ 11,6 milhões do protocolo Li.Fi, uma API usada para conectar e trocar ativos digitais entre blockchains, a equipe Li.Fi lançou uma atualização descrevendo os detalhes técnicos da violação.
De acordo com a atualização de segurança, a implantação de uma nova faceta de contrato inteligente foi o marco zero para o ataque malicioso. Uma vulnerabilidade no código permitiu que os usuários que ligassem para o contrato inteligente iniciassem chamadas para qualquer contrato sem validação prévia.
Esta função é resultado de um código retirado da biblioteca LibSwap, usado para facilitar chamadas entre exchanges descentralizadas, provedores de serviços e clientes para coordenar os processos de ponte e troca de ativos.
Normalmente, essas chamadas são selecionadas em endereços da lista de permissões para garantir a validação. No entanto, a Li.Fi explicou que o erro humano na implantação da faceta ofensiva do contrato inteligente foi a causa raiz da vulnerabilidade explorada pelo ator malicioso.
A equipe Li.Fi confirmou que o ataque ocorreu nas redes Ethereum e Arbitrum e afetou 156 carteiras com a opção “aprovações infinitas” ativada. Os usuários sem esta opção ativada não foram afetados pela exploração.
Em declarações ao Cointelegraph, porta-vozes da Li.Fi disseram que continham a exploração, abordaram a vulnerabilidade crítica e contataram as autoridades competentes para rastrear fundos roubados. No momento da redação deste artigo, o problema foi corrigido e o Li.Fi está operando normalmente.
Relacionado: Lazarus está movimentando milhões de hack de Bitcoin DMM de US$ 305 milhões — ZachXBT
Não é a primeira vez
Em março de 2022, o Li.Fi foi atingido por uma exploração semelhante que afetou usuários com a opção de “aprovação infinita” ativada. Os hackers drenaram US$ 600.000 do protocolo de 29 carteiras antes que a vulnerabilidade fosse resolvida.
O protocolo foi rápido em reembolsar os investidores por suas perdas, reembolsando 24 carteiras diretamente de seu tesouro e oferecendo às cinco carteiras restantes um plano de compensação voluntária semelhante ao recebido pelos primeiros investidores anjos da Li.Fi.
Hacks de criptografia prejudicaram a indústria em 2024
Infelizmente, hacks e explorações continuam a atormentar a indústria criptográfica e o setor financeiro descentralizado, em particular.
De acordo com um relatório recente da empresa de segurança Cyvers, as perdas em 2024 decorrentes de explorações de criptomoedas estão se aproximando de US$ 1,4 bilhão, impulsionadas principalmente por ataques de phishing, e aumentaram acentuadamente desde 2023.
Revista: Melhores e piores países para impostos sobre criptomoedas — além de dicas sobre impostos sobre criptomoedas

Li.Fi divulga relatório de incidente após hack de US$ 11 milhões

Explore mais do Criador

Últimas Notícias