“Human Error” LI.FI Protocol Reports $11.6 Million Loss & Will Compensate Users

Blockonomi · 2024-07-19T06:38:16.000Z

TLDR LI.FI, a cross-chain blockchain protocol, suffered a $11.6 million hack affecting 153 wallets The exploit was caused by a vulnerability in a newly deployed smart contract facet The company attributed the breach to “human error” in overseeing the deployment process Assets stolen included USDC, USDT, and DAI stablecoins LI.FI is working with law enforcement and security firms to recover funds and plans to compensate affected users LI.FI, a popular cross-chain blockchain protocol, lost approximately $11.6 million in cryptocurrencies. The incident, which affected 153 wallets across the Ethereum and Arbitrum networks, has been attributed to human error during a smart contract update process. LI.FI, which allows users to trade across various blockchains, published an incident report on Thursday detailing the exploit. According to the report, the vulnerability stemmed from a newly deployed smart contract facet that lacked proper validation checks. This oversight allowed attackers to make arbitrary calls to any contract, effectively bypassing security measures. The company stated, “Upon detecting the security breach, our team immediately activated the incident response plan, successfully disabling the vulnerable facet across all chains. This action contained the threat and prevented any further unauthorized access.” Post-mortem and next steps for @lifiprotocol partners and community:https://t.co/H4EEiLAHEc pic.twitter.com/TZmx0VtLxo — LI.FI (@lifiprotocol) July 18, 2024 The exploit primarily affected wallets that had set infinite token approvals, a practice that allows protocols to interact with user funds without requiring repeated permissions. Assets drained in the attack included popular stablecoins such as USDC, USDT, and DAI. LI.FI emphasized that wallets using finite approvals, which is the default setting in their API, SDK, and widget, were not impacted by this vulnerability. In their post-mortem report, LI.FI explained that the root cause of the exploit was “an individual human error in overseeing the deployment process.” The new smart contract facet lacked crucial validation steps that were present in other parts of the protocol. This oversight allowed malicious actors to exploit the vulnerability and access user funds. The incident has raised concerns about the security practices in the decentralized finance (DeFi) sector. It follows a troubling trend of increasing security breaches in the space, with over $1 billion in digital assets lost due to various security incidents in the first half of 2024 alone. In response to the breach, LI.FI has taken several immediate actions. They have advised users to revoke approvals for the compromised contract addresses and are collaborating with law enforcement authorities and web3 security firms to trace and potentially recover the stolen funds. “If you are an affected wallet holder, please complete the following form so that we can get in touch with you directly. Your cooperation is greatly appreciated,” the team wrote in their report. LI.FI has stated that its primary concern is assisting in the recovery of user funds. The company, with backing from its major investors, is exploring options to fully compensate affected users as soon as possible. This move aims to mitigate the impact on users and maintain trust in the protocol. To prevent similar incidents in the future, LI.FI has outlined several additional security measures. These include multiple audits, maintaining an auditing firm on retainer, backend infrastructure and API penetration testing, bug bounties, an incident response framework, and extensive security assessments of integrated third-party systems. These steps align with the National Institute of Standards and Technology (NIST) guidelines. The post “Human Error” LI.FI Protocol Reports $11.6 Million Loss & Will Compensate Users appeared first on Blockonomi.

TLDR
LI.FI, un protocol blockchain cross-chain, a suferit un hack de 11,6 milioane de dolari care a afectat 153 de portofele
Exploatarea a fost cauzată de o vulnerabilitate într-o fațetă de contract inteligent nou implementată
Compania a atribuit încălcarea „eroarei umane” în supravegherea procesului de implementare
Activele furate au inclus monede stabile USDC, USDT și DAI
LI.FI lucrează cu firmele de aplicare a legii și de securitate pentru a recupera fonduri și intenționează să despăgubească utilizatorii afectați
LI.FI, un popular protocol blockchain cross-chain, a pierdut aproximativ 11,6 milioane de dolari în criptomonede. Incidentul, care a afectat 153 de portofele din rețelele Ethereum și Arbitrum, a fost atribuit unei erori umane în timpul procesului de actualizare a unui contract inteligent.
LI.FI, care permite utilizatorilor să tranzacționeze pe diverse blockchain-uri, a publicat joi un raport de incident care detaliază exploatarea.
Potrivit raportului, vulnerabilitatea a provenit dintr-o fațetă de contract inteligent nou implementată, care nu avea verificări adecvate de validare. Această supraveghere a permis atacatorilor să facă apeluri arbitrare la orice contract, ocolind efectiv măsurile de securitate.
Compania a declarat: „După detectarea bresei de securitate, echipa noastră a activat imediat planul de răspuns la incident, dezactivând cu succes fața vulnerabilă din toate lanțurile. Această acțiune a conținut amenințarea și a împiedicat orice alt acces neautorizat.”
Post-mortem și următorii pași pentru partenerii și comunitatea @lifiprotocol: https://t.co/H4EEiLAHEc pic.twitter.com/TZmx0VtLxo
— LI.FI (@lifiprotocol) 18 iulie 2024
Exploatarea a afectat în primul rând portofelele care aveau aprobări infinite de token, o practică care permite protocoalelor să interacționeze cu fondurile utilizatorilor fără a necesita permisiuni repetate.
Activele epuizate în atac au inclus monede stabile populare, cum ar fi USDC, USDT și DAI. LI.FI a subliniat că portofelele care utilizează aprobări finite, care este setarea implicită în API-ul, SDK-ul și widget-ul lor, nu au fost afectate de această vulnerabilitate.
În raportul lor post-mortem, LI.FI a explicat că cauza principală a exploatării a fost „o eroare umană individuală în supravegherea procesului de implementare”. Noua fațetă a contractului inteligent nu avea pași cruciali de validare care erau prezenți în alte părți ale protocolului. Această supraveghere a permis actorilor rău intenționați să exploateze vulnerabilitatea și să acceseze fondurile utilizatorilor.
Incidentul a stârnit îngrijorări cu privire la practicile de securitate din sectorul finanțelor descentralizate (DeFi). Urmează o tendință îngrijorătoare de creștere a încălcărilor de securitate în spațiu, cu peste 1 miliard de dolari în active digitale pierdute din cauza diferitelor incidente de securitate numai în prima jumătate a anului 2024.
Ca răspuns la încălcare, LI.FI a întreprins mai multe acțiuni imediate. Ei au sfătuit utilizatorii să revoce aprobările pentru adresele contractelor compromise și colaborează cu autoritățile de aplicare a legii și firmele de securitate web3 pentru a urmări și, eventual, a recupera fondurile furate.
„Dacă sunteți un deținător de portofel afectat, vă rugăm să completați următorul formular pentru a vă putea contacta direct. Cooperarea dumneavoastră este foarte apreciată”, a scris echipa în raportul lor.
LI.FI a declarat că preocuparea sa principală este asistența la recuperarea fondurilor utilizatorilor. Compania, cu sprijinul majorilor săi investitori, explorează opțiuni pentru a compensa pe deplin utilizatorii afectați cât mai curând posibil. Această mișcare are ca scop atenuarea impactului asupra utilizatorilor și menținerea încrederii în protocol.
Pentru a preveni incidente similare în viitor, LI.FI a subliniat câteva măsuri suplimentare de securitate.
Acestea includ audituri multiple, menținerea unei firme de audit pe retenție, infrastructura backend și testarea de penetrare API, recompense pentru erori, un cadru de răspuns la incident și evaluări extinse de securitate ale sistemelor integrate de la terți. Acești pași se aliniază cu liniile directoare ale Institutului Național de Standarde și Tehnologie (NIST).
Postarea „Eroare umană” Protocolul LI.FI raportează pierderi de 11,6 milioane de dolari și va compensa utilizatorii a apărut mai întâi pe Blockonomi.

Explorați mai multe de la acest creator

Ultimele știri