Protokol Li Finance (LiFi) ialah platform kewangan terdesentralisasi (DeFi) terbaharu untuk menjadi mangsa penggodam. Satu kelemahan dalam kontrak pintar pertukaran pra-jambatan LI.FI telah dieksploitasi oleh pelakon penyangak itu, membolehkan dia mencuri jumlah yang berbeza-beza USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT dan DAI berjumlah $600k daripada 29 dompet, menurut catatan blog 21 Mac 2022.
Protokol LI.FI Mengalami Heist $600k
LI.Fi, protokol pengagregatan jambatan dengan ketersambungan pertukaran terdesentralisasi (DEX), keupayaan pemesejan data rantaian silang dan banyak lagi, telah mengalami serangan besar, menghadiahkan aset digital bernilai $600,000 kepada penggodam.
Menurut catatan blog oleh pasukan LI.FI, penyerang mengeksploitasi kelemahan dalam ciri pertukaran kontrak pintar LI FI tepat pada 2:51 AM +UTC. Pasukan itu berkata penggodam berjaya memperoleh kawalan penuh ke atas ciri pertukaran pra-jambatannya dan dapat membuat panggilan kontrak pintar yang memindahkan token dalam dompet pengguna kepada miliknya, berdasarkan kontrak token yang sebelum ini telah diberikan oleh pengguna dengan kelulusan yang tidak terhingga.
LI.FI menulis:
“Pada 20 Mac 2022, penyerang mengeksploitasi kontrak pintar LI.FI, khususnya ciri pertukaran kami yang membolehkan kami melakukan pertukaran sebelum merapatkan. Daripada menukar sebenarnya, mereka dapat memanggil kontrak token secara langsung dalam konteks kontrak kami. Akibat daripada eksploitasi itu, sesiapa yang memberikan kelulusan tanpa had kepada kontrak kami adalah terdedah,”
Hanya dalam satu transaksi, pasukan itu berkata penyerang dapat mencuri pelbagai jumlah USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO) Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), Aave (AAVE), Jarvis Network (JRT), dan Dai (DAI).
Selepas eksploitasi yang berjaya, penyerang menukar token kepada eter (ETH), tetapi masih belum mencuci dana yang dicuri pada masa penulisan. LI.FI telah menghubungi penggodam dan sedang menunggu jawapan.
“Pengeksploitasi LI.FI, kami menghargai anda menunjukkan kelemahan dalam kontrak kami. Kami ingin membincangkan pemulangan dana pengguna dan potensi hadiah: [e-mel dilindungi],” tulis pasukan itu.
LI.FI Membayar Balik Pengguna
Yang penting, daripada 29 dompet yang terjejas oleh rompakan itu, Li Finance berkata ia telah membayar balik 25 daripadanya (86 peratus), dalam jumlah keseluruhan $80k, dan ia sedang berbincang dengan pemilik baki empat dompet (saiz nosional ~ $517 k) untuk mengubah dana yang hilang menjadi pelaburan malaikat ke dalam projek, untuk mengurangkan kerosakan pada perbendaharaan LI FI.
Pasukan LI FI berkata ia kini telah mencari dan membetulkan kelemahan dalam kontrak pintarnya, dan kesal kerana tidak meluangkan masa untuk mengaudit platform secara menyeluruh sebelum disiarkan secara langsung.
“Dengan tidak menyelesaikan audit lebih awal, kami mengabaikan tugas kami untuk menawarkan keselamatan setinggi mungkin. Misi kami adalah untuk memaksimumkan UX, dan kini kami telah mengetahui bahawa langkah keselamatan kami mesti dipertingkatkan secara drastik untuk mengikuti etos ini,” kata LI.FI.
Dalam berita berkaitan, pada 15 Mac 2022, laporan muncul bahawa protokol DeFi Deus Finance telah mengalami serangan pinjaman kilat yang membolehkan penggodam mencuri lebih $3 juta dalam mata wang kripto. Dan pada 18 Mac, crypto.news melaporkan bahawa Agave dan Hundred Finance kehilangan $11 juta kepada penggodam melalui eksploitasi pepijat kemasukan semula.
Sumber: https://crypto.news/li-finance-defi-protocol-600k-reimburse/