Після використання протоколу Li.Fi, API, який використовується для перемикання та обміну цифровими активами між блокчейнами, на суму 11,6 мільйонів доларів США, команда Li.Fi випустила оновлення, в якому описано технічні деталі зламу.
Згідно з оновленням безпеки, розгортання нового аспекту смарт-контракту стало нульовою точкою для зловмисної атаки. Уразливість у коді дозволяла користувачам, які викликали смарт-контракт, ініціювати виклики будь-якого контракту без попередньої перевірки.
Ця функція є результатом коду, взятого з бібліотеки LibSwap, який використовується для полегшення викликів між децентралізованими біржами, постачальниками послуг і клієнтами для координації процесів перемикання активів і обміну.
Зазвичай ці виклики перевіряються на адреси з білого списку, щоб забезпечити перевірку. Однак Li.Fi пояснив, що людська помилка під час розгортання образливого аспекту смарт-контракту була основною причиною вразливості, яку використав зловмисник.
Команда Li.Fi підтвердила, що атака сталася на мережі Ethereum і Arbitrum і вплинула на 156 гаманців з увімкненою опцією «нескінченних схвалень». Експлойт не вплинув на користувачів, у яких не було ввімкнено цю опцію.
У заявах для Cointelegraph представники Li.Fi заявили, що виявили експлойт, усунули критичну вразливість і звернулися до відповідних правоохоронних органів, щоб відстежити вкрадені кошти. На момент написання цієї статті проблему було вирішено, і Li.Fi працює нормально.
За темою: Lazarus переміщує мільйони зі зламу DMM біткойнів на суму 305 мільйонів доларів — ZachXBT
Не перший раз
У березні 2022 року Li.Fi постраждав від подібного експлойту, який вплинув на користувачів із увімкненою опцією «безмежне схвалення». Хакери витягли 600 000 доларів із протоколу з 29 гаманців до усунення вразливості.
Протокол швидко відшкодував інвесторам їхні втрати, відшкодувавши 24 гаманцям безпосередньо зі своєї скарбниці та запропонувавши решті п’яти гаманців добровільний план компенсації, схожий на той, який отримували перші інвестори-ангели Li.Fi.
У 2024 році криптохаки загальмували індустрію
На жаль, хаки та експлойти продовжують страждати від криптоіндустрії та децентралізованого фінансового сектора, зокрема.
Згідно з нещодавнім звітом охоронної фірми Cyvers, збитки від криптоексплойтів у 2024 році наближаються до 1,4 мільярда доларів США, головним чином через фішингові атаки, і різко зросли з 2023 року.
Журнал: Найкращі та найгірші країни для податків на криптовалюту — а також поради щодо податку на криптовалюту
