Binance Square'de LI.FI Protocol Loses $10m in Second Hack Due to Same Old Bug

Cryptopolitan · 2024-07-16T17:53:01.000Z

Cross-chain trading protocol LI.FI has been hit by “a call injection attack,” security platform, Beosin Alert, reported on Tuesday. About $10 million in crypto assets, including 6.3M USDT, 3.2M USDC, and 169k DAI, have been stolen from the protocol. Also read: Kraken reveals bug allowed rogue ‘security researchers’ to exploit $3M LI.FI co-founder Philipp Zentner confirmed the incident on X (formerly Twitter), noting that only users who have manually set “infinite approvals” were affected. “Please do not interact with any LI.FI powered applications for now. We’re investigating a potential exploit,” Zentner wrote. LI.FI allegedly hacked via the same old bug The vulnerability was traced to the “depositToGasZipERC20()” function of LI.FI contract. According to Beosin’s analysis, the function can swap specified tokens for platform tokens and deposit them into the GasZip contract, but it fails to restrict the data for the call invocation, which allows the attacker to withdraw assets from users who have approvals to the contract. Elsewhere, another security platform Peckshield reported that LI.FI was also exploited two years ago due to the same vulnerability. “While analyzing today’s LI.FI protocol hack, we noticed an earlier hack on the same protocol on March 20, 2022,” Peckshield posted on X. “The bug is basically the same.” While analyzing today's @lifiprotocol hack, we notice an earlier hack on the same protocol on March 20, 2022. The bug is basically the same. https://t.co/YcuEe4efOT Are we learning anything from the past lesson(s)? https://t.co/nV4IuX7T7j pic.twitter.com/aVB6FQ3MnT — PeckShield Inc. (@peckshield) July 16, 2024 During the 2022 LI.FI protocol hack, about $600,000 in assets were stolen and drained from the protocol, with 29 wallets affected. The team said in a post-mortem report that the bug was fixed, and all the affected users were reimbursed. Also read: 2024 sees nearly $1.4 billion in crypto thefts so far So far, there are no discussions about reimbursing users affected by the latest hack, at least at the time of writing. However, LI.FI posted they are investigating the exploit and advised users not to interact with any LI.FI powered application in the meantime. The incident today comes a little over a year after LI.FI raised $17.5 million in a Series A funding round to enable DeFi users to trade across different blockchains, venues, and bridges. It claims to have facilitated over $10 billion in total transfer volume.

Güvenlik platformu Beosin Alert'in Salı günü bildirdiğine göre çapraz zincir ticaret protokolü LI.FI, "bir çağrı enjeksiyon saldırısı" tarafından vuruldu. Protokolden 6,3 milyon USDT, 3,2 milyon USDC ve 169 bin DAI dahil yaklaşık 10 milyon dolarlık kripto varlığı çalındı. 
Ayrıca okuyun: Kraken, hileli "güvenlik araştırmacılarının" 3 milyon dolardan yararlanmasına izin veren bir hata ortaya çıkardı
LI.FI kurucu ortağı Philipp Zentner, olayı X (eski adıyla Twitter) üzerinden doğruladı ve yalnızca "sonsuz onayları" manuel olarak ayarlayan kullanıcıların etkilendiğini belirtti. “Lütfen şimdilik LI.FI destekli uygulamalarla etkileşimde bulunmayın. Zentner, olası bir istismarı araştırıyoruz" diye yazdı. 
LI.FI'nin aynı eski hata yoluyla saldırıya uğradığı iddia ediliyor
Güvenlik açığının, LI.FI sözleşmesinin "depositToGasZipERC20()" işlevinden kaynaklandığı belirlendi. Beosin'in analizine göre, işlev belirli tokenleri platform tokenları ile değiştirebiliyor ve bunları GasZip sözleşmesine yatırabiliyor ancak saldırganın sözleşmeyi onaylayan kullanıcılardan varlıkları geri çekmesine olanak tanıyan çağrı çağrısı için verileri kısıtlamakta başarısız oluyor.
Başka bir yerde, başka bir güvenlik platformu Peckshield, LI.FI'nin iki yıl önce de aynı güvenlik açığından dolayı istismar edildiğini bildirdi. Peckshield, X'te şunları paylaştı: "Bugünün LI.FI protokol hacklemesini analiz ederken, 20 Mart 2022'de aynı protokolde daha önceki bir hacklenmeyi fark ettik." "Hata temelde aynı."
Bugünkü @lifiprotocol hack'ini analiz ederken, aynı protokolde 20 Mart 2022'de daha önce gerçekleşen bir hacklenmeyi fark ettik.
Hata temelde aynı. https://t.co/YcuEe4efOT
Geçmiş derslerden bir şeyler öğreniyor muyuz? https://t.co/nV4IuX7T7j pic.twitter.com/aVB6FQ3MnT
- PeckShield Inc. (@peckshield) 16 Temmuz 2024
2022 LI.FI protokolü hacklenmesi sırasında yaklaşık 600.000 dolarlık varlık çalındı ​​ve protokolden çekildi; 29 cüzdan etkilendi. Ekip, otopsi raporunda hatanın giderildiğini ve etkilenen tüm kullanıcılara geri ödeme yapıldığını söyledi. 
Ayrıca okuyun: 2024'te şimdiye kadar yaklaşık 1,4 milyar dolarlık kripto hırsızlığı görüldü
Şu ana kadar, en azından bu yazının yazıldığı sırada, en son saldırıdan etkilenen kullanıcılara tazminat ödenmesi konusunda herhangi bir tartışma yapılmadı. Ancak LI.FI, istismarı araştırdıklarını bildirdi ve kullanıcılara bu arada LI.FI destekli herhangi bir uygulamayla etkileşimde bulunmamalarını tavsiye etti. 
Bugünkü olay, LI.FI'nin, DeFi kullanıcılarının farklı blockchain'ler, mekanlar ve köprüler arasında ticaret yapabilmesini sağlamak için A Serisi finansman turunda 17,5 milyon dolar toplamasından bir yıldan biraz fazla bir süre sonra gerçekleşti. Toplam transfer hacminin 10 milyar doların üzerinde gerçekleştiğini iddia ediyor.

İçerik Üreticisinden Daha Fazla İçerik Keşfedin

En Son Haberler

İçerik Üreticisinden Daha Fazla İçerik Keşfedin

En Son Haberler

Öne Çıkan Makaleler