Li Finance (LiFi) プロトコルは、ハッカーの犠牲となる最新の分散型金融 (DeFi) プラットフォームです。 LI.FI のブリッジ スワップ前のスマート コントラクトの抜け穴が不正行為者によって悪用され、さまざまな金額の USDC、MATIC、RPL、GNO、USDT、MVI、AUDIO、AAVE、JRT、DAI を盗むことができ、合計 600 万ドルが不正行為者から盗まれました。 29年21月2022日のブログ投稿によると、ウォレットはXNUMX個。
LI.FIプロトコルが600万ドル強盗の被害に遭う
分散型取引所 (DEX) 接続、クロスチェーン データ メッセージング機能などを備えたブリッジ アグリゲーション プロトコルである LI.Fi が大規模な攻撃を受け、ハッカーに 600,000 万ドル相当のデジタル資産が贈呈されました。
LI.FI チームのブログ投稿によると、攻撃者はちょうど午前 2 時 51 分 +UTC に LI FI スマート コントラクトのスワッピング機能の脆弱性を悪用しました。 同チームによると、ハッカーはプリブリッジスワップ機能を完全に制御することに成功し、ユーザーが以前に無限の承認を与えていたトークンコントラクトに基づいて、ユーザーのウォレット内のトークンを自分のウォレットに転送するスマートコントラクト呼び出しを行うことができたという。
LI.FIさんはこう書いています。
「20 年 2022 月 XNUMX 日、攻撃者は LI.FI のスマート コントラクト、特にブリッジング前にスワップを実行できるスワッピング機能を悪用しました。 実際に交換する代わりに、彼らは私たちのコントラクトのコンテキストでトークンコントラクトを直接呼び出すことができました。 悪用の結果、私たちの契約に無限の承認を与えた人は誰でも脆弱になりました。」
たったXNUMX回のトランザクションで、攻撃者はさまざまな量のUSD Coin (USDC)、Polygon (MATIC)、Rocket Pool (RPL)、Gnosis (GNO) Tether (USDT)、Metaverse Index (MVI)、Audiusを盗むことができたとチームは述べています。 (AUDIO)、Aave (AAVE)、Jarvis Network (JRT)、および Dai (DAI)。
エクスプロイトが成功した後、攻撃者はトークンをイーサ (ETH) に交換しましたが、この記事の執筆時点ではまだ盗まれた資金を洗浄していません。 LI.FIはハッカーに連絡しており、返答を待っているところです。
“LI.FI exploiter, we appreciate you pointing out the vulnerability in our contracts. We would like to discuss returning user funds and a potential bounty: [メール保護],” wrote the team.
LI.FI はユーザーに返金します
重要なのは、強盗の影響を受けた29個のウォレットのうち、リー・ファイナンスはそのうち25個(86パーセント)、総額80万ドルを弁済し、残りの517個のウォレット(想定サイズ〜XNUMXドル)の所有者と交渉中であると述べていることだ。 k) LI FI の財務への損害を軽減するために、失われた資金をプロジェクトへのエンジェル投資に変える。
LI FIチームは、スマートコントラクトの脆弱性を特定して修正したと述べ、稼働前にプラットフォームを徹底的に監査する時間をとらなかったことを後悔していると述べた。
「監査を早期に終了しなかったため、可能な限り最高のセキュリティを提供するという義務を怠ってしまいました。 私たちの使命は UX を最大化することであり、この理念に従うためにはセキュリティ対策を大幅に改善する必要があることを痛感しました」と LI.FI は宣言しました。
関連ニュースとして、15 年 2022 月 XNUMX 日に、 レポート DeFiプロトコルDeus Financeがフラッシュローン攻撃を受け、ハッカーが3万ドル以上の仮想通貨を盗むことができたことが明らかになった。 そして18月XNUMX日には、 クリプトニュース Agave と Hundred Finance が、再入バグの悪用によりハッカーに 11 万ドルを失ったと報告しました。
出典: https://crypto.news/li-finance-defi-protocol-600k-reimburse/