Agregator swapów Li Finance doświadczył wykorzystania inteligentnego kontraktu, który spowodował utratę około 600 000 USD z portfeli 29 użytkowników.
Exploit miał miejsce o godzinie 2:51 czasu UTC 20 marca. Atakujący był w stanie wydobyć różne ilości 10 różnych tokenów z portfeli, które dawały „nieskończoną zgodę” na protokół Li Finance. Wśród skradzionych tokenów były USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO), Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), AAVE (AAVE), Jarvis Reward Token (JRT) i DAI (DAI).
Nasze najlepsze roboty biznesowe
Kiedy zespół dowiedział się o exploitie 12 godzin później o 14:15 UTC, wyłączył wszystkie funkcje wymiany na platformie, aby zapobiec dalszym stratom.
Do godziny 2:50 czasu UTC 21 marca zespół opublikował sekcję zwłok szczegółowo opisującą wydarzenia związane z exploitem. Zespół powiedział, że atakujący zamienił skradzione tokeny na około 205 Ether (ETH) o wartości około 600 000 USD. W chwili pisania tego tekstu skradziony ETH nie został jeszcze przeniesiony z portfela napastnika. LiFi zapewniło również użytkowników, że błąd został zidentyfikowany i załatany.
Spośród 29 portfeli, które zostały trafione w tym ataku, 25 zwrócono z funduszy skarbowych za poniesione straty. Te 25 portfeli stanowiło tylko 80 000 USD, czyli 13% całkowitej utraconej wartości. Skontaktowano się z właścicielami pozostałych czterech portfeli, którzy stracili łącznie 517 000 USD i zaoferowano im umowę, aby zrekompensować im straty jako aniołów biznesu w protokole.
Otrzymaliby tokeny LiFi na takich samych warunkach, jak inni aniołowie biznesu, w kwocie równej ich stratom z każdego portfela. Pomogłoby to również złagodzić szkody w skarbcu platformy.
Skontaktowano się również z hakerem i zaoferowano mu nagrodę za błąd w celu zwrotu środków.
Wydaje się, że atak nastąpił w niefortunnym czasie. Dyrektor generalny Li Finance, Philipp Zentner, powiedział Cointelegraph 21 marca, że „od naszego audytu dzieli nas dosłownie tydzień”, dodając, że „mamy wiele firm, które nas audytują”.
Jednak nawet dokładny audyt kodu mógł nie wykryć tego konkretnego błędu, według badacza „Transmissions11” z firmy Paradigm zajmującej się kryptowalutami. Wyjaśnił w tweecie z 21 marca, że błąd w kodzie Li Finance jest łatwy do przeoczenia i „subtelny, jeśli nie masz odpowiedniego nastawienia”.
Związane z:„Pechowy:” protokoły Agawy i Hundred Finance DeFi wykorzystane za 11 mln USD
Ten najnowszy hack w sektorze zdecentralizowanych finansów (DeFi) pokazuje, w jaki sposób udzielanie niekończących się zatwierdzeń inteligentnych kontraktów naraża fundusze użytkownika na większe ryzyko. Nieskończone zatwierdzenia umożliwiają użytkownikom wymianę monet na zdecentralizowanej giełdzie (DEX) nieograniczoną liczbę razy bez konieczności zatwierdzania kolejnych transakcji.
Kontynuuj czytanie w Cointelegraph
