Swapový agregátor Li Finance zažil chytré využívání smluv, které vedlo ke ztrátě přibližně 600 000 $ z peněženek 29 uživatelů.
K zneužití došlo 20. března ve 2:51 UTC. Útočníkovi se podařilo získat různá množství 10 různých tokenů z peněženek, které daly „nekonečný souhlas“ protokolu Li Finance. Mezi odcizenými tokeny byly USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO), Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), AAVE (AAVE), Jarvis Reward Token (JRT) a DAI (DAI).
Naši nejlepší obchodní roboti
Když se tým o zneužití dozvěděl o 12 hodin později ve 14:15 UTC, vypnul všechny swapovací funkce na platformě, aby zabránil dalším ztrátám.
Do 2:50 UTC 21. března tým vydal posmrtnou zprávu s podrobnostmi o událostech exploitu. Tým uvedl, že útočník vyměnil ukradené tokeny za celkem asi 205 etherů (ETH) v hodnotě zhruba 600 000 dolarů. V době psaní tohoto článku ještě nebylo třeba přesunout ukradené ETH z peněženky útočníka. LiFi také ujistil uživatele, že chyba byla identifikována a opravena.
Z 29 peněženek, které byly při tomto útoku zasaženy, bylo 25 uhrazeno ze státních fondů za jejich ztráty. Těchto 25 peněženek představovalo pouze 80 000 $, neboli 13 % z celkové ztracené hodnoty. Majitelé zbývajících čtyř peněženek, které ztratily dohromady 517 000 dolarů, byli kontaktováni a nabídli jim dohodu, která jim kompenzuje jejich ztráty jako andělských investorů v protokolu.
Získali by tokeny LiFi za stejných podmínek jako ostatní andělští investoři ve výši rovnající se jejich ztrátám z každé peněženky. To by také pomohlo zmírnit škody na pokladně platformy.
Hacker byl také kontaktován a nabídl mu odměnu za chyby, aby vrátil peníze.
Zdá se, že útok přišel v nešťastnou dobu. Generální ředitel společnosti Li Finance Philipp Zentner 21. března Cointelegraphu řekl, že „do našeho auditu nás dělí doslova týden,“ dodal, že „nás audituje několik společností.“
Podle výzkumníka „Transmissions11“ z krypto investiční společnosti Paradigm však ani důkladný audit kódu nemusel tuto konkrétní chybu odhalit. V tweetu z 21. března vysvětlil, že chybu v kódu Li Finance lze snadno přehlédnout a „jemnou, pokud nejste ve správném myšlení“.
Příbuzný:„Smůla:“ Protokoly Agave a Hundred Finance DeFi byly využity za 11 milionů dolarů
Tento nejnovější hack v sektoru decentralizovaných financí (DeFi) ukazuje, jak neomezené schvalování chytrých smluv otevírá prostředky uživatele většímu riziku. Nekonečné schvalování umožňuje uživatelům vyměňovat coiny na decentralizované burze (DEX) neomezeně mnohokrát, aniž by museli schvalovat další transakce.
Pokračujte ve čtení na Cointelegraph