โปรโตคอล Li Finance (LiFi) เป็นแพลตฟอร์มการเงินกระจายอำนาจ (DeFi) ล่าสุดที่จะตกเป็นเหยื่อของแฮกเกอร์ ช่องโหว่ในสัญญาสมาร์ทสว็อปล่วงหน้าของ LI.FI ถูกใช้โดยผู้หลอกลวง ทำให้เขาสามารถขโมย USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT และ DAI ได้ในปริมาณที่แตกต่างกันไป รวมเป็นเงิน $600k จาก 29 wallets ตามโพสต์บล็อกวันที่ 21 มีนาคม 2022
โปรโตคอล LI.FI ประสบปัญหาการโจรกรรม $600k
LI.Fi ซึ่งเป็นโปรโตคอลการรวมบริดจ์ที่มีการเชื่อมต่อ Decentralized Exchange (DEX) ความสามารถในการส่งข้อความข้อมูลข้ามสายโซ่ และอีกมากมาย ได้รับผลกระทบจากการโจมตีครั้งใหญ่ โดยมอบทรัพย์สินดิจิทัลมูลค่า 600,000 ดอลลาร์แก่แฮ็กเกอร์
ตามบล็อกโพสต์โดยทีม LI.FI ผู้โจมตีใช้ช่องโหว่ในคุณสมบัติการแลกเปลี่ยนของสัญญาอัจฉริยะ LI FI เมื่อเวลา 2:51 น. +UTC ทีมงานกล่าวว่าแฮ็กเกอร์สามารถควบคุมคุณสมบัติ pre-bridge swap ได้อย่างสมบูรณ์และสามารถเรียกสัญญาอัจฉริยะที่โอนโทเค็นในกระเป๋าของผู้ใช้ไปยังของเขาได้ โดยอิงจากสัญญาโทเค็นที่ผู้ใช้เคยได้รับการอนุมัติอย่างไม่สิ้นสุด
LI.FI เขียน:
"เมื่อวันที่ 20 มีนาคม พ.ศ. 2022 ผู้โจมตีใช้ประโยชน์จากสัญญาอัจฉริยะของ LI.FI โดยเฉพาะอย่างยิ่งคุณลักษณะการสลับของเราซึ่งช่วยให้เราทำการแลกเปลี่ยนก่อนที่จะเชื่อมต่อ แทนที่จะแลกเปลี่ยนกันจริงๆ พวกเขาสามารถเรียกสัญญาโทเค็นได้โดยตรงในบริบทของสัญญาของเรา อันเป็นผลมาจากการหาประโยชน์ ใครก็ตามที่อนุมัติสัญญาของเราอย่างไม่สิ้นสุดมีความเสี่ยง”
ในการทำธุรกรรมเพียงครั้งเดียว ทีมงานกล่าวว่าผู้โจมตีสามารถขโมย USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO) Tether (USDT), Metaverse Index (MVI), Audius ในปริมาณที่แตกต่างกัน (AUDIO), Aave (AAVE), Jarvis Network (JRT) และ Dai (DAI)
หลังจากการใช้ประโยชน์ที่ประสบความสำเร็จ ผู้โจมตีได้เปลี่ยนโทเค็นเป็นอีเธอร์ (ETH) แต่ยังไม่ได้ฟอกเงินที่ถูกขโมยในขณะที่เขียน LI.FI ได้ติดต่อแฮ็กเกอร์แล้วและกำลังรอการตอบกลับ
“ผู้แสวงหาประโยชน์จาก LI.FI เราขอขอบคุณที่คุณชี้ให้เห็นถึงช่องโหว่ในสัญญาของเรา เราต้องการหารือเกี่ยวกับการคืนเงินของผู้ใช้และเงินรางวัลที่อาจเกิดขึ้น: [ป้องกันอีเมล]” ทีมงานเขียน
LI.FI คืนเงินให้ผู้ใช้
ที่สำคัญ จาก 29 กระเป๋าที่ได้รับผลกระทบจากการโจรกรรม Li Finance กล่าวว่าได้คืนเงิน 25 ในนั้น (86 เปอร์เซ็นต์) เป็นจำนวนเงินรวม $80k และกำลังคุยกับเจ้าของกระเป๋าอีกสี่กระเป๋าที่เหลือ (ขนาดประมาณ ~ 517 ดอลลาร์ k) เพื่อแปลงเงินทุนที่สูญเสียไปเป็นการลงทุนแบบเทวดาในโครงการ เพื่อลดความเสียหายต่อคลังของ LI FI
ทีม LI FI กล่าวว่าขณะนี้ได้ระบุและแก้ไขช่องโหว่ในสัญญาอัจฉริยะแล้ว และเสียใจที่ไม่ได้สละเวลาตรวจสอบแพลตฟอร์มอย่างละเอียดก่อนเริ่มใช้งานจริง
“การไม่ทำการตรวจสอบให้เสร็จก่อนกำหนด เราละเลยหน้าที่ในการให้การรักษาความปลอดภัยสูงสุดเท่าที่จะเป็นไปได้ ภารกิจของเราคือเพิ่ม UX ให้สูงสุด และตอนนี้เราได้เรียนรู้อย่างเจ็บปวดว่ามาตรการรักษาความปลอดภัยของเราต้องปรับปรุงอย่างมากเพื่อให้เป็นไปตามร๊อคนี้” LI.FI กล่าว
ในข่าวที่เกี่ยวข้อง เมื่อวันที่ 15 มีนาคม 2022 รายงาน ปรากฏว่าโปรโตคอล DeFi Deus Finance ประสบกับการโจมตีของสินเชื่อแฟลช ซึ่งทำให้แฮกเกอร์สามารถขโมยเงินคริปโตได้มากกว่า 3 ล้านเหรียญสหรัฐ และเมื่อวันที่ 18 มีนาคม crypto.news รายงานว่า Agave และ Hundred Finance สูญเสียเงิน 11 ล้านดอลลาร์ให้กับแฮ็กเกอร์ผ่านการใช้ประโยชน์จากจุดบกพร่องในการกลับเข้ามาใหม่
ที่มา: https://crypto.news/li-finance-defi-protocol-600k-reimburse/