A Li Finance swap aggregátor intelligens szerződéses kizsákmányoláson esett át, ami körülbelül 600 000 dollár veszteséget okozott 29 felhasználó pénztárcájából.
A kizsákmányolás március 20-án, UTC 2:51-kor történt. A támadó különböző mennyiségű 10 különböző tokent tudott kinyerni azokból a pénztárcákból, amelyek „végtelen jóváhagyást” adtak a Li Finance protokollnak. Az ellopott tokenek között volt USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO), Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), AAVE (AAVE), Jarvis Reward. Token (JRT) és DAI (DAI).
A legjobb üzleti robotjaink
Amikor a csapat 12 órával később, 14:15 UTC-kor értesült a kizsákmányolásról, a további veszteségek elkerülése érdekében leállította a platform összes cserefunkcióját.
Március 21-én hajnali 2:50-ig (UTC) a csapat post mortem jelentést adott ki, amely részletezte a támadás eseményeit. A csapat azt mondta, hogy a támadó az ellopott tokeneket összesen körülbelül 205 Ether-re (ETH) cserélte ki, nagyjából 600 000 dollár értékben. A cikk írásakor az ellopott ETH-t még nem kellett kimozdítani a támadó pénztárcájából. A LiFi arról is biztosította a felhasználókat, hogy a hibát azonosították és kijavították.
A támadásban elszenvedett 29 pénztárcából 25-nek megtérítették a kincstári alapokból a veszteségeit. Ez a 25 pénztárca mindössze 80 000 dollárt tett ki, ami a teljes elvesztett érték 13%-a. A fennmaradó négy pénztárca tulajdonosaival, amelyek összesen 517 000 dollárt veszítettek, felvették a kapcsolatot, és felajánlották nekik, hogy kompenzálják a veszteségeiket, mint angyalbefektetőket a jegyzőkönyvben.
Ugyanolyan feltételek mellett kapnának LiFi tokeneket, mint a többi angyal befektető, az egyes pénztárcákból származó veszteségüknek megfelelő összegben. Ez a platform pénztárában okozott károk mérséklését is segítené.
A hackerrel is felvették a kapcsolatot, és felajánlottak egy bounty-díjat a pénz visszafizetéséért.
A támadás a jelek szerint szerencsétlen időben érkezett. A Li Finance vezérigazgatója, Philipp Zentner március 21-én azt mondta a Cointelegraph-nak, hogy „szó szerint egy hétre vagyunk az auditunktól”, hozzátéve, hogy „több cég is auditál bennünket”.
A Paradigm kriptobefektetési cég „Transmissions11” kutatója szerint azonban még a kód alapos ellenőrzése sem észlelhette ezt a hibát. Egy március 21-i tweetben kifejtette, hogy a Li Finance kódjában lévő hibát könnyű kihagyni, és „finom, ha nem a megfelelő gondolkodásmódban van”.
Összefüggő:„Szerencsétlen:” Az Agave és a Hundred Finance DeFi protokollokat 11 millió dollárért kihasználták
Ez a legújabb hack a decentralizált pénzügyi (DeFi) szektorban bemutatja, hogy az intelligens szerződések végtelen jóváhagyása hogyan nyitja meg a felhasználó pénzét nagyobb kockázatnak. A végtelen számú jóváhagyás lehetővé teszi a felhasználók számára, hogy korlátlan számú érmét cseréljenek egy decentralizált tőzsdén (DEX) anélkül, hogy további tranzakciókat kellene jóváhagyniuk.
Olvassa tovább a Cointelegraph oldalon