Nền tảng bảo mật Beosin Alert đưa tin giao thức giao dịch xuyên chuỗi LI.FI đã bị tấn công bởi “một cuộc tấn công chèn lệnh gọi”. Khoảng 10 triệu đô la tài sản tiền điện tử, bao gồm 6,3 triệu USDT, 3,2 triệu USDC và 169 nghìn DAI, đã bị đánh cắp khỏi giao thức. 

Cũng đọc: Kraken tiết lộ lỗi cho phép 'nhà nghiên cứu bảo mật' lừa đảo khai thác 3 triệu đô la

Người đồng sáng lập LI.FI, Philipp Zentner đã xác nhận sự cố trên X (trước đây là Twitter), lưu ý rằng chỉ những người dùng đã đặt “phê duyệt vô hạn” theo cách thủ công mới bị ảnh hưởng. “Hiện tại, vui lòng không tương tác với bất kỳ ứng dụng hỗ trợ LI.FI nào. Chúng tôi đang điều tra một cách khai thác tiềm năng,” Zentner viết. 

LI.FI bị cáo buộc đã bị tấn công bằng lỗi cũ

Lỗ hổng được bắt nguồn từ chức năng “depositToGasZipERC20()” của hợp đồng LI.FI. Theo phân tích của Beosin, chức năng này có thể hoán đổi các mã thông báo được chỉ định lấy mã thông báo nền tảng và gửi chúng vào hợp đồng GasZip, nhưng nó không hạn chế dữ liệu cho lệnh gọi cuộc gọi, cho phép kẻ tấn công rút tài sản từ những người dùng đã phê duyệt hợp đồng.

Ở những nơi khác, một nền tảng bảo mật khác là Peckshield đã báo cáo rằng LI.FI cũng đã bị khai thác hai năm trước do lỗ hổng tương tự. “Trong khi phân tích vụ hack giao thức LI.FI ngày hôm nay, chúng tôi nhận thấy một vụ hack trước đó trên cùng một giao thức vào ngày 20 tháng 3 năm 2022,” Peckshield đăng trên X. “Về cơ bản, lỗi này giống nhau”.

Trong khi phân tích vụ hack @lifiprotocol ngày hôm nay, chúng tôi nhận thấy một vụ hack trước đó trên cùng giao thức vào ngày 20 tháng 3 năm 2022.

Lỗi về cơ bản là giống nhau. https://t.co/YcuEe4efOT

Chúng ta có học được điều gì từ (các) bài học trước không? https://t.co/nV4IuX7T7j pic.twitter.com/aVB6FQ3MnT

- PeckShield Inc. (@peckshield) Ngày 16 tháng 7 năm 2024

Trong vụ hack giao thức LI.FI năm 2022, khoảng 600.000 USD tài sản đã bị đánh cắp và rút khỏi giao thức, với 29 ví bị ảnh hưởng. Nhóm cho biết trong một báo cáo khám nghiệm tử thi rằng lỗi đã được sửa và tất cả người dùng bị ảnh hưởng đã được hoàn lại tiền. 

Cũng đọc: Tính đến nay, năm 2024 chứng kiến ​​gần 1,4 tỷ USD tiền điện tử bị trộm

Cho đến nay, không có cuộc thảo luận nào về việc hoàn trả cho người dùng bị ảnh hưởng bởi vụ hack mới nhất, ít nhất là tại thời điểm viết bài. Tuy nhiên, LI.FI đăng tải rằng họ đang điều tra việc khai thác và khuyên người dùng không nên tương tác với bất kỳ ứng dụng nào do LI.FI hỗ trợ trong thời gian chờ đợi. 

Vụ việc hôm nay xảy ra hơn một năm sau khi LI.FI huy động được 17,5 triệu đô la trong vòng tài trợ Series A để cho phép người dùng DeFi giao dịch trên các blockchain, địa điểm và cầu nối khác nhau. Nó tuyên bố đã tạo điều kiện cho tổng khối lượng chuyển khoản lên tới hơn 10 tỷ USD.