پروتکل Li Finance (LiFi) آخرین پلتفرم مالی غیرمتمرکز (DeFi) است که قربانی هکرها می شود. یک حفره در قرارداد هوشمند مبادله پیش از پل LI.FI توسط این بازیگر سرکش مورد سوء استفاده قرار گرفت و او را قادر ساخت مقادیر متفاوتی از USDC، MATIC، RPL، GNO، USDT، MVI، AUDIO، AAVE، JRT، و DAI را به ارزش 600 هزار دلار از آن ها سرقت کند. 29 کیف پول، طبق یک پست وبلاگ 21 مارس 2022.
پروتکل LI.FI دچار سرقت 600 هزار دلاری شد
LI.Fi، یک پروتکل جمعآوری پل با اتصال تبادل غیرمتمرکز (DEX)، قابلیت پیامرسانی دادههای متقابل زنجیرهای و موارد دیگر، مورد حمله بزرگی قرار گرفته و داراییهای دیجیتالی به ارزش 600,000 دلار را به هکر هدیه داده است.
طبق یک پست وبلاگ توسط تیم LI.FI، یک مهاجم دقیقاً در ساعت 2:51 بامداد + UTC از یک آسیب پذیری در ویژگی تعویض قرارداد هوشمند LI FI سوء استفاده کرد. این تیم میگوید هکر توانسته کنترل کاملی بر ویژگی مبادله پیش از پل خود داشته باشد و توانست تماسهای قراردادی هوشمندی برقرار کند که توکنهای موجود در کیف پول کاربران را به وی منتقل میکرد و بر اساس آن قراردادهای توکن کاربران قبلاً تأییدیههای نامحدودی را داده بودند.
LI.FI نوشت:
«در 20 مارس 2022، یک مهاجم از قرارداد هوشمند LI.FI، بهویژه ویژگی تعویض ما که به ما اجازه میدهد قبل از پل زدن، مبادله را انجام دهیم، سوء استفاده کرد. به جای مبادله، آنها توانستند مستقیماً در چارچوب قرارداد ما قراردادهای توکن را فراخوانی کنند. در نتیجه این سوء استفاده، هرکسی که قرارداد ما را بی نهایت تایید می کرد، آسیب پذیر بود.
تنها در یک تراکنش، تیم میگوید مهاجم میتواند مقادیر مختلفی از USD Coin (USDC)، Polygon (MATIC)، Rocket Pool (RPL)، Gnosis (GNO) Tether (USDT)، Metaverse Index (MVI)، Audius را سرقت کند. (AUDIO)، Aave (AAVE)، Jarvis Network (JRT)، و Dai (DAI).
پس از سوء استفاده موفقیت آمیز، مهاجم توکن ها را به اتر (ETH) مبادله کرد، اما هنوز در زمان نگارش وجوه سرقت شده را شستشو نکرده است. LI.FI با هکر تماس گرفته و منتظر پاسخ است.
«استثمارگر LI.FI، از شما بابت اشاره به آسیبپذیری در قراردادهای ما سپاسگزاریم. ما می خواهیم در مورد بازگشت وجوه کاربر و یک جایزه بالقوه بحث کنیم: [ایمیل محافظت شده]این تیم نوشت.
LI.FI به کاربران بازپرداخت می کند
نکته مهم این است که از 29 کیف پولی که تحت تأثیر سرقت قرار گرفته اند، لی فایننس می گوید که 25 مورد از آنها (86 درصد) را به مبلغ کل 80 هزار دلار بازپرداخت کرده است و با صاحبان چهار کیف پول باقی مانده (اندازه واقعی 517 دلار) صحبت می کند. ک) تبدیل وجوه از دست رفته به سرمایه گذاری فرشته در پروژه، برای کاهش آسیب به خزانه LI FI.
تیم LI FI میگوید که اکنون آسیبپذیری موجود در قراردادهای هوشمند خود را پیدا کرده و برطرف کرده است و متأسف است که قبل از شروع به کار، زمانی را برای بررسی کامل پلتفرم صرف نکرده است.
«با پایان ندادن حسابرسی زودتر، از وظیفه خود برای ارائه بالاترین امنیت ممکن غافل شدیم. ماموریت ما به حداکثر رساندن UX است و اکنون به طرز دردناکی یاد گرفتهایم که اقدامات امنیتی ما باید به شدت بهبود یابد تا از این اخلاق پیروی کنیم.
در اخبار مرتبط ، در 15 مارس 2022 ، گزارش مشخص شد که پروتکل DeFi Deus Finance مورد حمله وام فلش قرار گرفته است که به هکرها امکان می دهد بیش از 3 میلیون دلار ارز دیجیتال را سرقت کنند. و در 18 مارس، crypto.news گزارش داد که Agave و Hundred Finance 11 میلیون دلار از طریق سوءاستفاده از اشکال ورود مجدد به هکرها ضرر کردند.
منبع: https://crypto.news/li-finance-defi-protocol-600k-reimburse/