Протокол LI.FI втратив 10 мільйонів доларів під час другого злому через ту саму стару помилку

Протокол міжланцюжкової торгівлі LI.FI постраждав від «атаки ін’єкції виклику», повідомила платформа безпеки Beosin Alert у вівторок. З протоколу було викрадено близько 10 мільйонів доларів криптоактивів, включаючи 6,3 млн USDT, 3,2 млн USDC і 169 тис. DAI. 

Читайте також: Kraken виявив помилку, яка дозволила шахраям «дослідників безпеки» використати 3 мільйони доларів

Співзасновник LI.FI Філіп Зентнер підтвердив інцидент на X (раніше Twitter), зазначивши, що постраждали лише користувачі, які вручну встановили «нескінченні схвалення». «Будь ласка, наразі не взаємодійте з будь-якими програмами, що працюють на базі LI.FI. Ми розслідуємо потенційний експлойт», – написав Зентнер. 

LI.FI нібито зламано через ту саму стару помилку

Уразливість виявлена ​​у функції «depositToGasZipERC20()» контракту LI.FI. Згідно з аналізом Beosin, функція може замінити вказані токени на токени платформи та внести їх у контракт GasZip, але вона не може обмежити дані для виклику виклику, що дозволяє зловмиснику вилучати активи в користувачів, які мають схвалення контракту.

В іншому місці інша платформа безпеки Peckshield повідомила, що LI.FI також використовували два роки тому через ту саму вразливість. «Аналізуючи сьогоднішній злом протоколу LI.FI, ми помітили попередній злом того самого протоколу 20 березня 2022 року», — опублікував Peckshield на X. «Помилка в основному та сама».

Аналізуючи сьогоднішній злом @lifiprotocol, ми помітили попередній злом того самого протоколу 20 березня 2022 року.

Помилка в основному та сама. https://t.co/YcuEe4efOT

Чи навчилися ми чогось із минулих уроків? https://t.co/nV4IuX7T7j pic.twitter.com/aVB6FQ3MnT

— PeckShield Inc. (@peckshield) 16 липня 2024 р

Під час злому протоколу LI.FI у 2022 році активи на суму близько 600 000 доларів США були викрадені та злиті з протоколу, постраждали 29 гаманців. У аналітичному звіті команда повідомила, що помилку виправлено, і всі постраждалі користувачі отримали відшкодування. 

Читайте також: у 2024 році кількість крадіжок криптовалюти склала майже 1,4 мільярда доларів

Поки що немає дискусій про відшкодування користувачам, які постраждали від останнього злому, принаймні на момент написання статті. Однак LI.FI опублікував, що розслідує експлойт, і порадив користувачам поки що не взаємодіяти з будь-якими додатками на основі LI.FI. 

Сьогоднішній інцидент стався трохи більше ніж через рік після того, як LI.FI зібрав 17,5 мільйонів доларів у раунді фінансування серії A, щоб дати користувачам DeFi можливість торгувати через різні блокчейни, майданчики та мости. Він стверджує, що сприяв переказу понад 10 мільярдів доларів США.