De Li Finance swap-aggregator heeft een slim contract-exploit ondergaan dat heeft geleid tot het verlies van ongeveer $ 600.000 uit de portemonnee van 29 gebruikers.
De exploit vond plaats op 20 maart om 2:51 uur UTC. De aanvaller was in staat om verschillende hoeveelheden van 10 verschillende tokens te extraheren uit portefeuilles die "oneindige goedkeuring" hadden gegeven aan het Li Finance-protocol. Onder de gestolen tokens waren USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO), Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), AAVE (AAVE), Jarvis Reward Token (JRT) en DAI (DAI).
Onze beste handelsrobots
Toen het team 12 uur later om 14:15 uur UTC hoorde over de exploit, sloot het alle swapfuncties op het platform af om verdere verliezen te voorkomen.
Op 21 maart om 2.50 uur UTC had het team een autopsie uitgebracht waarin de gebeurtenissen van de exploit werden beschreven. Het team zei dat de aanvaller de gestolen tokens heeft geruild voor in totaal ongeveer 205 Ether (ETH) met een waarde van ongeveer $ 600.000. Op het moment van schrijven moest de gestolen ETH nog uit de portemonnee van de aanvaller worden gehaald. LiFi verzekerde gebruikers ook dat de bug is geïdentificeerd en gepatcht.
Van de 29 wallets die bij deze aanval zijn geraakt, zijn er 25 uit schatkistfondsen vergoed voor hun verliezen. Die 25 portefeuilles waren goed voor slechts $ 80.000, of 13% van de totale verloren waarde. Er is contact opgenomen met de eigenaren van de overige vier portefeuilles die in totaal $ 517.000 hebben verloren en een deal aangeboden om hen te compenseren door hun verliezen als angel-investeerders in het protocol te honoreren.
Ze zouden LiFi-tokens ontvangen onder dezelfde voorwaarden als andere engelbeleggers voor een bedrag dat gelijk is aan hun verliezen van elke portemonnee. Dit zou ook helpen om de schade aan de schatkist van het platform te beperken.
De hacker werd ook gecontacteerd en bood een bug bounty aan om het geld terug te geven.
De aanval lijkt op een ongelukkig moment te komen. Philipp Zentner, CEO van Li Finance, vertelde Cointelegraph op 21 maart dat "we letterlijk een week verwijderd zijn van onze controle", eraan toevoegend dat "meerdere bedrijven ons controleren".
Maar zelfs een grondige controle van de code heeft deze specifieke bug misschien niet opgepikt, volgens een onderzoeker "Transmissions11" bij crypto-investeringsfirma Paradigm. Hij legde in een tweet van 21 maart uit dat de fout in de code van Li Finance gemakkelijk te missen en "subtiel is als je niet de juiste mindset hebt".
Verwant:'Ongelukkig:' Agave en Hundred Finance DeFi-protocollen misbruikt voor $ 11 miljoen
Deze nieuwste hack in de gedecentraliseerde financiële sector (DeFi) laat zien hoe het geven van oneindige goedkeuringen aan slimme contracten het geld van een gebruiker blootstelt aan een groter risico. Met oneindige goedkeuringen kunnen gebruikers munten onbeperkt wisselen op een gedecentraliseerde beurs (DEX), zonder dat ze nog meer transacties hoeven goed te keuren.
Lees verder op CoinTelegraph