Dijital varlıkları blok zincirler arasında köprülemek ve takas etmek için kullanılan bir API olan Li.Fi protokolünün 11,6 milyon dolarlık istismarının ardından Li.Fi ekibi, ihlalin teknik ayrıntılarını özetleyen bir güncelleme yayınladı.
Güvenlik güncellemesine göre, yeni bir akıllı sözleşme özelliğinin devreye alınması, kötü niyetli saldırı için sıfır noktasıydı. Koddaki bir güvenlik açığı, akıllı sözleşmeyi arayan kullanıcıların önceden doğrulama yapmadan herhangi bir sözleşmeye çağrı başlatmasına olanak tanıdı.
Bu işlev, varlık köprüleme ve takas süreçlerini koordine etmek amacıyla merkezi olmayan borsalar, hizmet sağlayıcılar ve müşteriler arasındaki çağrıları kolaylaştırmak için kullanılan LibSwap kütüphanesinden alınan kodun bir sonucudur.
Normalde bu çağrılar, doğrulamayı sağlamak için beyaz listedeki adreslere göre taranır. Ancak Li.Fi, kötü niyetli aktörün istismar ettiği güvenlik açığının temel nedeninin, rahatsız edici akıllı sözleşme özelliğinin dağıtımındaki insan hatası olduğunu açıkladı.
Li.Fi ekibi, saldırının Ethereum ve Arbitrum ağlarında gerçekleştiğini ve "sonsuz onay" seçeneği açık olan 156 cüzdanı etkilediğini doğruladı. Bu seçeneği açmayan kullanıcılar bu açıktan etkilenmedi.
Li.Fi sözcüsü Cointelegraph'a yaptığı açıklamada, açığı kontrol altına aldıklarını, kritik güvenlik açığını ele aldıklarını ve çalınan fonların izini sürmek için ilgili kolluk kuvvetleriyle iletişime geçtiklerini söyledi. Bu yazının yazıldığı sırada sorun çözülmüştür ve Li.Fi normal şekilde çalışmaktadır.
İlgili: Lazarus, 305 milyon dolarlık DMM Bitcoin hackinden milyonları taşıyor — ZachXBT
İlk defa değil
Mart 2022'de Li.Fi, "sonsuz onay" seçeneği açık olan kullanıcıları etkileyen benzer bir istismardan etkilendi. Bilgisayar korsanları, güvenlik açığı giderilmeden önce 29 cüzdandaki protokolden 600.000 doları çekti.
Protokol, yatırımcıların kayıplarını hızlı bir şekilde tazmin etti; 24 cüzdanı doğrudan hazineden geri ödedi ve geri kalan beş cüzdana Li.Fi'nin ilk melek yatırımcılarının aldığına benzer bir gönüllü tazminat planı sundu.
Kripto hack'leri 2024'te sektörü olumsuz etkiliyor
Ne yazık ki, hack'ler ve istismarlar özellikle kripto endüstrisini ve merkezi olmayan finans sektörünü rahatsız etmeye devam ediyor.
Güvenlik firması Cyvers'ın yakın tarihli bir raporuna göre, 2024'te kripto istismarlarından kaynaklanan kayıplar, esas olarak kimlik avı saldırılarından kaynaklanan 1,4 milyar dolara yaklaşıyor ve 2023'ten bu yana keskin bir şekilde arttı.
Dergi: Kripto vergileri için en iyi ve en kötü ülkeler ve ayrıca kripto vergisi ipuçları
