Der Swap-Aggregator von Li Finance hat einen Smart-Contract-Exploit erlebt, der zum Verlust von rund 600.000 US-Dollar aus den Brieftaschen von 29 Benutzern führte.
Der Exploit fand am 20. März um 2:51 Uhr UTC statt. Der Angreifer war in der Lage, unterschiedliche Mengen von 10 verschiedenen Token aus Brieftaschen zu extrahieren, die dem Li Finance-Protokoll eine „unendliche Genehmigung“ erteilt hatten. Unter den gestohlenen Token waren USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO), Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), AAVE (AAVE), Jarvis Reward Token (JRT) und DAI (DAI).
Unsere Top Trading Bots
Als das Team 12 Stunden später um 14:15 Uhr UTC von dem Exploit erfuhr, schaltete es alle Swap-Funktionen auf der Plattform ab, um weitere Verluste zu verhindern.
Am 21. März um 2:50 Uhr UTC hatte das Team eine Obduktion veröffentlicht, in der die Ereignisse des Exploits detailliert beschrieben wurden. Das Team sagte, dass der Angreifer die gestohlenen Token gegen insgesamt etwa 205 Ether (ETH) im Wert von etwa 600.000 Dollar eingetauscht habe. Zum Zeitpunkt des Verfassens dieses Artikels musste die gestohlene ETH noch aus der Brieftasche des Angreifers entfernt werden. LiFi versicherte den Benutzern auch, dass der Fehler identifiziert und gepatcht wurde.
Von den 29 Brieftaschen, die bei diesem Angriff getroffen wurden, wurden 25 aus Schatzmitteln für ihre Verluste erstattet. Diese 25 Brieftaschen machten nur 80.000 US-Dollar oder 13 % des verlorenen Gesamtwerts aus. Die Eigentümer der verbleibenden vier Wallets, die zusammen 517.000 US-Dollar verloren haben, wurden kontaktiert und ihnen wurde ein Deal angeboten, um sie zu entschädigen, indem sie ihre Verluste als Angel-Investoren im Protokoll anerkennen.
Sie würden LiFi-Token zu den gleichen Bedingungen wie andere Angel-Investoren in einem Betrag erhalten, der ihren Verlusten aus jeder Brieftasche entspricht. Dies würde auch dazu beitragen, den Schaden an der Kasse der Plattform zu mindern.
Der Hacker wurde ebenfalls kontaktiert und bot eine Bug-Prämie an, um das Geld zurückzugeben.
Der Angriff scheint zu einem ungünstigen Zeitpunkt gekommen zu sein. Philipp Zentner, CEO von Li Finance, sagte am 21. März gegenüber Cointelegraph, dass „uns buchstäblich eine Woche von unserer Prüfung entfernt ist“, und fügte hinzu, dass „mehrere Unternehmen uns prüfen lassen“.
Laut einem Forscher „Transmissions11“ der Krypto-Investmentfirma Paradigm hätte jedoch selbst eine gründliche Prüfung des Codes diesen speziellen Fehler möglicherweise nicht aufgedeckt. Er erklärte in einem Tweet vom 21. März, dass der Fehler im Code von Li Finance leicht zu übersehen und „subtil ist, wenn man nicht in der richtigen Einstellung ist“.
Verbunden:„Pech gehabt:“ DeFi-Protokolle von Agave und Hundred Finance für 11 Millionen Dollar ausgenutzt
Dieser neueste Hack im Bereich der dezentralen Finanzen (DeFi) zeigt, wie die Erteilung unendlicher Genehmigungen für Smart Contracts die Gelder eines Benutzers einem größeren Risiko aussetzt. Unbegrenzte Genehmigungen ermöglichen es Benutzern, Münzen an einer dezentralen Börse (DEX) unbegrenzt oft zu tauschen, ohne weitere Transaktionen genehmigen zu müssen.
Lesen Sie weiter bei Cointelegraph
