Protocolul de tranzacționare în lanțuri încrucișate LI.FI a fost lovit de „un atac de injecție de apeluri”, a raportat marți platforma de securitate Beosin Alert. Aproximativ 10 milioane USD în active cripto, inclusiv 6,3 milioane USDT, 3,2 milioane USDC și 169 mii DAI, au fost furate din protocol. 

Citește și: Kraken dezvăluie că o eroare le-a permis „cercetătorilor de securitate” necinstiți să exploateze 3 milioane de dolari

Cofondatorul LI.FI Philipp Zentner a confirmat incidentul pe X (fostul Twitter), menționând că doar utilizatorii care au setat manual „aprobări infinite” au fost afectați. „Vă rugăm să nu interacționați cu nicio aplicație alimentată de LI.FI pentru moment. Investigăm o potențială exploatare”, a scris Zentner. 

LI.FI ar fi piratat prin aceeași eroare veche

Vulnerabilitatea a fost urmărită la funcția „depositToGasZipERC20()” a contractului LI.FI. Potrivit analizei lui Beosin, funcția poate schimba jetoanele specificate cu jetoane de platformă și le poate depozita în contractul GasZip, dar nu reușește să restricționeze datele pentru invocarea apelului, ceea ce permite atacatorului să retragă activele de la utilizatorii care au aprobări pentru contract.

În altă parte, o altă platformă de securitate Peckshield a raportat că LI.FI a fost exploatat și în urmă cu doi ani din cauza aceleiași vulnerabilități. „În timp ce analizăm hack-ul de protocol LI.FI de astăzi, am observat un hack anterior asupra aceluiași protocol pe 20 martie 2022”, a postat Peckshield pe X. „Eroarea este practic aceeași.”

În timp ce analizăm hack-ul @lifiprotocol de astăzi, observăm un hack anterior asupra aceluiași protocol pe 20 martie 2022.

Bug-ul este practic același. https://t.co/YcuEe4efOT

Învățăm ceva din lecțiile anterioare? https://t.co/nV4IuX7T7j pic.twitter.com/aVB6FQ3MnT

— PeckShield Inc. (@peckshield) 16 iulie 2024

În timpul hack-ului protocolului LI.FI din 2022, aproximativ 600.000 USD în active au fost furate și scurse din protocol, cu 29 de portofele afectate. Echipa a spus într-un raport post-mortem că eroarea a fost remediată și toți utilizatorii afectați au fost rambursați. 

Citește și: 2024 înregistrează până acum aproape 1,4 miliarde de dolari în furturi cripto

Până acum, nu există discuții despre rambursarea utilizatorilor afectați de cel mai recent hack, cel puțin la momentul scrierii. Cu toate acestea, LI.FI a postat că investighează exploit-ul și i-a sfătuit pe utilizatori să nu interacționeze cu nicio aplicație alimentată de LI.FI între timp. 

Incidentul de astăzi are loc la puțin peste un an după ce LI.FI a strâns 17,5 milioane de dolari într-o rundă de finanțare din seria A pentru a permite utilizatorilor DeFi să tranzacționeze în diferite blockchain, locații și punți. Susține că a facilitat peste 10 miliarde de dolari în volumul total de transferuri.