TLDR
LI.FI, межсетевой протокол блокчейна, пострадал от взлома на сумму 11,6 миллиона долларов, затронувшего 153 кошелька.
Эксплойт был вызван уязвимостью в недавно развернутом аспекте смарт-контракта.
Компания объяснила нарушение «человеческой ошибкой» при наблюдении за процессом развертывания.
Украденные активы включали стейблкоины USDC, USDT и DAI.
LI.FI работает с правоохранительными и охранными фирмами над возвратом средств и планирует выплатить компенсацию пострадавшим пользователям.
LI.FI, популярный протокол кросс-чейн блокчейна, потерял около 11,6 миллионов долларов в криптовалютах. Инцидент, затронувший 153 кошелька в сетях Ethereum и Arbitrum, объясняется человеческой ошибкой во время процесса обновления смарт-контракта.
LI.FI, которая позволяет пользователям торговать через различные блокчейны, в четверг опубликовала отчет об инциденте с подробным описанием эксплойта.
Согласно отчету, уязвимость возникла из-за недавно развернутого аспекта смарт-контракта, в котором не было надлежащих проверок. Эта оплошность позволила злоумышленникам произвольно обращаться к любому контракту, эффективно обходя меры безопасности.
Компания заявила: «Обнаружив нарушение безопасности, наша команда немедленно активировала план реагирования на инциденты, успешно отключив уязвимый аспект во всех цепочках. Это действие сдержало угрозу и предотвратило дальнейший несанкционированный доступ».
Вскрытие и последующие шаги для партнеров и сообщества @lifiprotocol: https://t.co/H4EEiLAHEc pic.twitter.com/TZmx0VtLxo
– LI.FI (@lifiprotocol) 18 июля 2024 г.
Эксплойт в первую очередь затронул кошельки, в которых установлено бесконечное количество утверждений токенов — практика, которая позволяет протоколам взаимодействовать со средствами пользователей, не требуя повторных разрешений.
Активы, истощенные в результате атаки, включали популярные стейблкоины, такие как USDC, USDT и DAI. LI.FI подчеркнул, что кошельки, использующие ограниченные разрешения (это настройка по умолчанию в их API, SDK и виджете), не пострадали от этой уязвимости.
В своем отчете о вскрытии LI.FI объяснила, что основной причиной эксплойта была «индивидуальная человеческая ошибка при наблюдении за процессом развертывания». В новом аспекте смарт-контракта отсутствовали важные этапы проверки, которые присутствовали в других частях протокола. Этот надзор позволил злоумышленникам воспользоваться уязвимостью и получить доступ к средствам пользователей.
Инцидент вызвал обеспокоенность по поводу методов обеспечения безопасности в секторе децентрализованных финансов (DeFi). Это следует за тревожной тенденцией увеличения нарушений безопасности в космосе: только в первой половине 2024 года из-за различных инцидентов безопасности было потеряно более 1 миллиарда долларов цифровых активов.
В ответ на нарушение LI.FI предприняла несколько немедленных действий. Они посоветовали пользователям отозвать разрешения на скомпрометированные адреса контрактов и сотрудничают с правоохранительными органами и фирмами, занимающимися безопасностью Web3, чтобы отследить и, возможно, вернуть украденные средства.
«Если вы являетесь владельцем затронутого кошелька, заполните следующую форму, чтобы мы могли связаться с вами напрямую. Мы очень ценим ваше сотрудничество», — написала команда в своем отчете.
LI.FI заявила, что ее основной задачей является помощь в восстановлении средств пользователей. Компания при поддержке своих крупных инвесторов изучает варианты как можно скорее полностью компенсировать пострадавшим пользователям. Этот шаг направлен на смягчение воздействия на пользователей и сохранение доверия к протоколу.
Чтобы предотвратить подобные инциденты в будущем, LI.FI наметила несколько дополнительных мер безопасности.
К ним относятся многочисленные аудиты, содержание аудиторской фирмы на условиях гонорара, тестирование внутренней инфраструктуры и API на проникновение, вознаграждение за обнаружение ошибок, система реагирования на инциденты и обширные оценки безопасности интегрированных сторонних систем. Эти шаги соответствуют рекомендациям Национального института стандартов и технологий (NIST).
Пост «Человеческая ошибка». Протокол LI.FI сообщает о потерях в размере 11,6 миллионов долларов и будет компенсировать пользователям впервые появился на Blockonomi.