安全平台 Beosin Alert 周二报告称，跨链交易协议 LI.FI 遭到「呼叫注入攻击」。该协议中约 1,000 万美元的加密资产被盗，其中包括 630 万 USDT、320 万 USDC 和 16.9 万美元 DAI。 

另请阅读：Kraken 揭示了允许流氓「安全研究人员」利用 300 万美元的漏洞

LI.FI 联合创始人 Philipp Zentner 在 X（前身为 Twitter）上证实了这一事件，并指出只有手动设定「无限批准」的用户才会受到影响。 「目前请不要与任何 LI.FI 支援的应用程式互动。我们正在调查潜在的漏洞，」Zentner 写道。 

LI.FI 据称通过同一个漏洞遭到黑客攻击

该漏洞源自 LI.FI 合约的“depositToGasZipERC20()”函数，根据 Beosin 的分析，该函数可以将指定代币兑换为平台代币并存入 GasZip 合约，但未能限制调用时的数据，使得攻击者可以提取已获得合约批准的用户的资产。

另外，另一个安全平台 Peckshield 报告称，LI.FI 两年前也因同样的漏洞被利用。“在分析今天的 LI.FI 协议黑客攻击时，我们注意到 2022 年 3 月 20 日对同一协议的早期黑客攻击，”Peckshield 在 X 上发帖称。“这个漏洞基本上是一样的。”

在分析今天的 @lifiprotocol 黑客攻击时，我们注意到 2022 年 3 月 20 日对同一协议的早期黑客攻击。

该错误基本相同。https://t.co/YcuEe4efOT

我们从过去的教训中学到了什么吗？https://t.co/nV4IuX7T7j pic.twitter.com/aVB6FQ3MnT

— PeckShield Inc. (@peckshield) 2024 年 7 月 16 日

在 2022 年 LI.FI 协议遭到黑客攻击期间，约有 60 万美元的资产被盗并从协议中流失，有 29 个钱包受到影响。该团队在事后报告中表示，该漏洞已得到修复，所有受影响的用户都得到了补偿。

另请阅读：2024 年迄今为止加密货币盗窃案已达近 14 亿美元

到目前为止，至少在撰写本文时，还没有关于向受最新黑客攻击影响的用户提供赔偿的讨论。不过，LI.FI 表示他们正在调查该漏洞，并建议用户在此期间不要与任何由 LI.FI 支持的应用程序进行交互。

今天的事件发生前一年多，LI.FI 在 A 轮融资中筹集了 1750 万美元，旨在让 DeFi 用户跨不同的区块链、场所和桥梁进行交易。该公司声称已促成超过 100 亿美元的总转账量。