Протокол межсетевой торговли LI.FI подвергся «атаке с внедрением вызовов», сообщила во вторник платформа безопасности Beosin Alert. Из протокола было украдено около 10 миллионов долларов криптовалютных активов, в том числе 6,3 миллиона долларов США, 3,2 миллиона долларов США и 169 тысяч DAI.
Читайте также: Kraken обнаружил ошибку, позволившую мошенническим «исследователям безопасности» использовать 3 миллиона долларов
Соучредитель LI.FI Филипп Центнер подтвердил инцидент в X (ранее Twitter), отметив, что пострадали только пользователи, которые вручную установили «бесконечные одобрения». «Пожалуйста, пока не взаимодействуйте ни с какими приложениями на базе LI.FI. Мы расследуем потенциальную эксплойт», — написал Зентнер.
LI.FI предположительно взломан с помощью той же старой ошибки
Уязвимость была связана с функцией «depositToGasZipERC20()» контракта LI.FI. Согласно анализу Beosin, функция может заменять указанные токены на токены платформы и вносить их в контракт GasZip, но она не может ограничить данные для вызова вызова, что позволяет злоумышленнику забирать активы у пользователей, имеющих одобрение контракта.
Другая платформа безопасности Peckshield сообщила, что LI.FI также подвергся эксплуатации два года назад из-за той же уязвимости. «Анализируя сегодняшний взлом протокола LI.FI, мы заметили более ранний взлом того же протокола, произошедший 20 марта 2022 года», — написал Пекшилд на X. «Ошибка, по сути, та же самая».
Анализируя сегодняшний взлом @lifiprotocol, мы замечаем более ранний взлом того же протокола, произошедший 20 марта 2022 года.
Баг в принципе тот же. https://t.co/YcuEe4efOT
Усвоим ли мы что-нибудь из прошлых уроков? https://t.co/nV4IuX7T7j pic.twitter.com/aVB6FQ3MnT
– PeckShield Inc. (@peckshield) 16 июля 2024 г.
Во время взлома протокола LI.FI в 2022 году активы на сумму около 600 000 долларов были украдены и удалены из протокола, пострадало 29 кошельков. В отчете о вскрытии команда сообщила, что ошибка была исправлена, и всем пострадавшим пользователям была возмещена сумма.
Также читайте: В 2024 году количество краж криптовалют составит почти 1,4 миллиарда долларов
Пока что никаких дискуссий о возмещении ущерба пользователям, пострадавшим от последнего взлома, не ведется, по крайней мере, на момент написания статьи. Однако LI.FI сообщила, что расследует эксплойт, и посоветовала пользователям пока не взаимодействовать с какими-либо приложениями на базе LI.FI.
Сегодняшний инцидент произошел чуть больше года после того, как LI.FI собрала 17,5 миллионов долларов в раунде финансирования серии A, чтобы дать пользователям DeFi возможность торговать через различные блокчейны, площадки и мосты. Он утверждает, что способствовал общему объему переводов на сумму более 10 миллиардов долларов.
