После взлома протокола Li.Fi стоимостью 11,6 миллиона долларов, API, используемого для соединения и обмена цифровыми активами между блокчейнами, команда Li.Fi выпустила обновление, в котором излагаются технические детали взлома.
Согласно обновлению безопасности, развертывание нового аспекта смарт-контракта стало эпицентром вредоносной атаки. Уязвимость в коде позволяла пользователям, вызывающим смарт-контракт, инициировать вызовы любого контракта без предварительной проверки.
Эта функция является результатом кода, взятого из библиотеки LibSwap, который используется для облегчения вызовов между децентрализованными биржами, поставщиками услуг и клиентами для координации процессов соединения и обмена активами.
Обычно эти вызовы проверяются по адресам из белого списка для обеспечения проверки. Однако Li.Fi объяснил, что человеческая ошибка при развертывании опасного аспекта смарт-контракта была основной причиной уязвимости, использованной злоумышленником.
Команда Li.Fi подтвердила, что атака произошла на сети Ethereum и Arbitrum и затронула 156 кошельков с включенной опцией «бесконечных одобрений». Пользователи без включенной опции не были затронуты эксплойтом.
В заявлениях для Cointelegraph представители Li.Fi заявили, что они локализовали эксплойт, устранили критическую уязвимость и связались с соответствующими правоохранительными органами для отслеживания украденных средств. На момент написания этой статьи проблема была устранена, и Li.Fi работает нормально.
По теме: Lazarus переводит миллионы из взлома DMM Bitcoin на сумму 305 млн долларов — ZachXBT
Не в первый раз.
В марте 2022 года Li.Fi подвергся аналогичному эксплойту, затронувшему пользователей с включенной опцией «бесконечного одобрения». Хакеры вывели $600 000 из протокола с 29 кошельков, прежде чем уязвимость была устранена.
Протокол быстро возместил инвесторам убытки, вернув средства 24 кошелькам напрямую из своей казны и предложив оставшимся пяти кошелькам добровольный план компенсации, аналогичный тому, который получили первые бизнес-ангелы Li.Fi.
Взломы криптовалют подорвут отрасль в 2024 году
К сожалению, взломы и эксплойты продолжают преследовать криптоиндустрию и децентрализованный финансовый сектор в частности.
Согласно недавнему отчету компании Cyvers, занимающейся безопасностью, в 2024 году потери от криптоэксплойтов приближаются к 1,4 млрд долларов, в основном за счет фишинговых атак, и резко возросли с 2023 года.
Журнал: Лучшие и худшие страны с налогами на криптовалюту — плюс советы по налогообложению криптовалюты
