总长DR
跨链区块链协议 LI.FI 遭受黑客攻击,损失 1160 万美元,影响 153 个钱包
该漏洞是由新部署的智能合约方面存在的漏洞引起的
该公司将此次入侵归咎于监督部署过程中的“人为错误”
被盗资产包括 USDC、USDT 和 DAI 稳定币
LI.FI 正在与执法部门和安全公司合作追回资金,并计划对受影响的用户进行补偿
LI.FI 是一种流行的跨链区块链协议,损失了约 1160 万美元的加密货币。此次事件影响了以太坊和 Arbitrum 网络上的 153 个钱包,原因是智能合约更新过程中的人为错误。
LI.FI 允许用户跨各种区块链进行交易,该公司于周四发布了一份事件报告,详细介绍了该漏洞。
根据该报告,该漏洞源自于新部署的智慧合约方面缺乏适当的验证检查。这种疏忽使得攻击者可以任意调用任何合约,从而有效地绕过安全措施。
该公司表示:「在检测到安全漏洞后,我们的团队立即启动了事件回应计划,成功禁用了所有链上的易受攻击的方面。这一行动遏制了威胁并阻止了任何进一步的未经授权的访问。
@lifiprotocol 合作伙伴和社区的事后分析和后续步骤:https://t.co/H4EEiLAHEc pic.twitter.com/TZmx0VtLxo
— LI.FI (@lifiprotocol) 2024 年 7 月 18 日
该漏洞主要影响设置了无限代币批准的钱包,这种做法允许协议与用户资金进行交互,而无需重复许可。
攻击中流失的资产包括 USDC、USDT 和 DAI 等流行的稳定币。 LI.FI 强调,使用有限批准(这是其 API、SDK 和小部件中的预设)的钱包不受此漏洞的影响。
LI.FI 在事后报告中解释说,该漏洞的根本原因是「监督部署过程中的个人人为错误」。新的智能合约方面缺乏协议其他部分中存在的关键验证步骤。这种疏忽使得恶意行为者可以利用该漏洞并获取用户资金。
这起事件引发了人们对去中心化金融(DeFi)领域安全实践的担忧。随之而来的是该领域安全漏洞不断增加的令人不安的趋势,仅 2024 年上半年,由于各种安全事件,数位资产损失就超过 10 亿美元。
针对此次违规行为,LI.FI 立即采取了多项行动。他们建议使用者撤销受损合约地址的批准,并与执法机构和 web3 安全公司合作追踪并可能追回被盗资金。
「如果您是受影响的钱包持有者,请填写以下表格,以便我们直接与您联系。非常感谢您的合作,」团队在报告中写道。
LI.FI表示,其首要任务是协助追回用户资金。该公司在主要投资者的支持下,正在探索尽快向受影响用户提供全额补偿的方案。此举旨在减轻对使用者的影响并维持对协议的信任。
为了防止将来发生类似事件,LI.FI 概述了几项额外的安全措施。
其中包括多次审计、维持审计公司的聘任、后端基础设施和 API 渗透测试、错误赏金、事件回应框架以及整合第三方系统的广泛安全评估。这些步骤符合美国国家标准与技术研究所 (NIST) 的指导方针。
「人为错误」LI.FI 协议报告 1160 万美元损失并将赔偿用户的贴文首先出现在 Blockonomi 上。
