Das Li Finance (LiFi)-Protokoll ist die neueste dezentrale Finanzplattform (DeFi), die Hackern zum Opfer fällt. Der betrügerische Akteur nutzte eine Lücke im Pre-Bridge-Swap-Smart-Vertrag von LI.FI aus und ermöglichte es ihm, unterschiedliche Beträge an USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT und DAI im Gesamtwert von 600 US-Dollar zu stehlen 29 Wallets, laut einem Blogbeitrag vom 21. März 2022.
Das LI.FI-Protokoll erleidet einen Raubüberfall in Höhe von 600 US-Dollar
LI.Fi, ein Bridge-Aggregation-Protokoll mit dezentraler Exchange-Konnektivität (DEX), kettenübergreifenden Datennachrichtenfunktionen und mehr, wurde einem schweren Angriff ausgesetzt, bei dem dem Hacker digitale Vermögenswerte im Wert von 600,000 US-Dollar geschenkt wurden.
Laut einem Blogbeitrag des LI.FI-Teams nutzte ein Angreifer genau um 2:51 Uhr +UTC eine Schwachstelle in der Austauschfunktion des LI FI-Smart-Vertrags aus. Das Team sagt, dass es dem Hacker gelungen sei, die vollständige Kontrolle über die Pre-Bridge-Swap-Funktion zu erlangen und Smart-Contract-Anrufe zu tätigen, die die Tokens in den Wallets der Benutzer auf seine übertragen, basierend auf den Token-Verträgen, die die Benutzer zuvor unbegrenzte Genehmigungen erteilt hatten.
LI.FI schrieb:
„Am 20. März 2022 hat ein Angreifer den Smart Contract von LI.FI ausgenutzt, insbesondere unsere Austauschfunktion, die es uns ermöglicht, vor dem Bridging einen Austausch durchzuführen. Anstatt tatsächlich zu tauschen, konnten sie Token-Verträge direkt im Rahmen unseres Vertrags aufrufen. Durch den Exploit war jeder, der unserem Vertrag uneingeschränkt zustimmte, gefährdet.“
Das Team sagt, dass der Angreifer in nur einer Transaktion unterschiedliche Mengen an USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO), Tether (USDT), Metaverse Index (MVI) und Audius stehlen konnte (AUDIO), Aave (AAVE), Jarvis Network (JRT) und Dai (DAI).
Nach dem erfolgreichen Exploit tauschte der Angreifer die Token in Ether (ETH) um, musste die gestohlenen Gelder zum Zeitpunkt des Verfassens dieses Artikels jedoch noch waschen. LI.FI hat den Hacker kontaktiert und wartet auf eine Antwort.
„LI.FI-Exploiter, wir freuen uns, dass Sie auf die Schwachstelle in unseren Verträgen hinweisen. Wir würden gerne über die Rückgabe von Benutzergeldern und ein mögliches Kopfgeld sprechen: [E-Mail geschützt] “, schrieb das Team.
LI.FI erstattet den Benutzern eine Rückerstattung
Wichtig ist, dass Li Finance von den 29 von dem Raubüberfall betroffenen Wallets nach eigenen Angaben 25 (86 Prozent) im Gesamtbetrag von 80 US-Dollar erstattet hat und mit den Besitzern der verbleibenden vier Wallets (nominelle Größe ca. 517 US-Dollar) im Gespräch ist k) die verlorenen Mittel in eine Angel-Investition in das Projekt umzuwandeln, um den Schaden für die Staatskasse von LI FI zu verringern.
Das LI FI-Team gibt an, die Schwachstelle in seinen Smart Contracts nun gefunden und behoben zu haben und bedauert, sich nicht die Zeit genommen zu haben, die Plattform vor der Inbetriebnahme gründlich zu prüfen.
„Indem wir ein Audit nicht früher abgeschlossen haben, haben wir unsere Pflicht vernachlässigt, die größtmögliche Sicherheit zu bieten. Unsere Mission ist es, UX zu maximieren, und jetzt haben wir schmerzlich gelernt, dass unsere Sicherheitsmaßnahmen drastisch verbessert werden müssen, um diesem Ethos zu folgen“, erklärte LI.FI.
In verwandten Nachrichten vom 15. März 2022: Berichte Es stellte sich heraus, dass das DeFi-Protokoll Deus Finance Opfer eines Flash-Loan-Angriffs geworden war, der es den Hackern ermöglichte, Kryptowährungen im Wert von über 3 Millionen US-Dollar zu stehlen. Und am 18. März krypto.news berichteten, dass Agave und Hundred Finance durch einen Reentrancy-Bug-Exploit 11 Millionen US-Dollar an Hacker verloren haben.
Quelle: https://crypto.news/li-finance-defi-protocol-600k-reimburse/