Агрегатор свопов Li Finance столкнулся с эксплойтом смарт-контракта, что привело к потере около 600 000 долларов США из кошельков 29 пользователей.
Эксплойт был совершен в 2:51 утра по всемирному координированному времени 20 марта. Злоумышленник смог извлечь различное количество 10 различных токенов из кошельков, которые дали «бесконечное одобрение» протоколу Li Finance. Среди украденных токенов были USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO), Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), AAVE (AAVE), Jarvis Reward. Токен (JRT) и DAI (DAI).
TLDR: • Около 600 тысяч долларов украдено с 29 кошельков • Пользователю не нужно ничего делать • Ошибка исправлена и уже развернута https://t.co/fqOxJxDrZs— LI. FI — Any-2-Any Swaps (,) (@lifiprotocol) 21 марта 2022 г.
Когда команда узнала об эксплойте 12 часов спустя в 14:15 по всемирному координированному времени, она отключила все функции обмена на платформе, чтобы предотвратить дальнейшие потери.
К 2:50 утра по всемирному координированному времени 21 марта команда опубликовала вскрытие с подробным описанием событий эксплойта. Команда заявила, что злоумышленник обменял украденные токены на 205 эфиров (ETH) на сумму примерно 600 000 долларов. На момент написания статьи украденный ETH еще не был перемещен из кошелька злоумышленника. LiFi также заверил пользователей, что ошибка обнаружена и исправлена.
Сегодняшний взлом LiFi произошел потому, что его внутренняя функция swap() обращалась к любому адресу, используя любое сообщение, которое передал злоумышленник. Это позволило злоумышленнику получить контракт transferFrom() из средств любого, кто утвердил контракт.pic.twitter.com/NA3xW7ReUd — Даниэль фон Фанге (@danielvf) 20 марта 2022 г.
Из 29 кошельков, пострадавших в результате этой атаки, 25 возместили из средств казны свои убытки. На эти 25 кошельков приходилось только 80 000 долларов, или 13% от общей потерянной стоимости. С владельцами оставшихся четырех кошельков, которые потеряли в общей сложности 517 000 долларов, связались и предложили сделку, чтобы компенсировать им потери в качестве инвесторов-ангелов в протоколе.
Они получат токены LiFi на тех же условиях, что и другие инвесторы-ангелы, в сумме, равной их потерям из каждого кошелька. Это также помогло бы уменьшить ущерб, наносимый казне платформы.
С хакером также связались и предложили вознаграждение за ошибку, чтобы вернуть средства.
Похоже, нападение произошло в неудачное время. Генеральный директор Li Finance Филипп Зентнер сказал Cointelegraph 21 марта, что «у нас осталась буквально неделя до нашего аудита», добавив, что «нас проверяют несколько компаний».
Однако, по словам исследователя Transmissions11 из криптовалютной инвестиционной компании Paradigm, даже тщательный аудит кода мог не выявить эту конкретную ошибку. В своем твите от 21 марта он объяснил, что ошибку в коде Li Finance легко не заметить, и она «незаметна, если вы не в своем уме».
Связанный: «Не повезло:» протоколы Agave и Hundred Finance DeFi использовались за 11 миллионов долларов
Этот последний взлом в секторе децентрализованных финансов (DeFi) демонстрирует, как предоставление бесконечных разрешений на смарт-контракты подвергает средства пользователя большему риску. Бесконечные утверждения позволяют пользователям обменивать монеты на децентрализованной бирже (DEX) неограниченное количество раз без необходимости подтверждать какие-либо транзакции.
