Giao thức Li Finance mất 600.000 đô la trong lần khai thác DeFi mới nhất

Người dùng giao thức Li Finance (LiFi) bị thiệt hại lên tới khoảng 600.000 đô la, một số trong số họ đã được hoàn trả sau khi một hacker khai thác một lỗi trong hợp đồng thông minh của dự án.

Công ty tổng hợp giao dịch hoán đổi Li Finance đã gặp phải tình trạng khai thác hợp đồng thông minh dẫn đến việc mất khoảng 600.000 đô la từ ví của 29 người dùng.

Việc khai thác diễn ra vào lúc 2:51 sáng UTC vào ngày 20 tháng 3. Kẻ tấn công có thể trích xuất số lượng khác nhau của 10 Token khác nhau từ các ví đã cho phép giao thức Li Finance chấp thuận vô hạn. Trong số các Token bị đánh cắp có USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO), Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), AAVE (AAVE), Phần thưởng Jarvis Token (JRT) và DAI (DAI).

TLDR:

• ~$600K have been stolen from 29 wallets
• User don’t have to do anything
• Bug has been fixed and is already deployedhttps://t.co/fqOxJxDrZs

— LI.FI - Any-2-Any Swaps (,) (@lifiprotocol) March 21, 2022

Khi nhóm nghiên cứu biết được về việc khai thác 12 giờ sau vào lúc 2:15 chiều giờ UTC, họ đã đóng tất cả các chức năng hoán đổi trên nền tảng để ngăn chặn bất kỳ tổn thất nào tiếp theo.

Đến 2:50 sáng theo giờ UTC ngày 21 tháng 3, nhóm nghiên cứu đã khám nghiệm tử thi chi tiết các sự kiện khai thác. Nhóm nghiên cứu nói rằng kẻ tấn công đã trao đổi các Token bị đánh cắp với tổng số khoảng 205 Ether (ETH) trị giá khoảng 600.000 đô la. Tại thời điểm viết bài, ETH bị đánh cắp vẫn chưa được chuyển khỏi ví của kẻ tấn công. LiFi cũng đảm bảo với người dùng rằng lỗi đã được xác định và vá.

Today’s LiFi hack happed because its internal swap() function would call out to any address using whatever message the attacker passed in. This allowed the attacker to have the contract transferFrom() out the funds from anyone who had approved the contract. pic.twitter.com/NA3xW7ReUd

— Daniel Von Fange (@danielvf) March 20, 2022

Trong số 29 ví bị ảnh hưởng trong cuộc tấn công này, 25 ví đã được hoàn trả từ quỹ kho bạc cho những tổn thất của chúng. 25 chiếc ví đó chỉ chiếm 80.000 USD, tương đương 13% tổng giá trị bị mất. Chủ sở hữu của bốn ví còn lại bị mất tổng cộng 517.000 đô la đã được liên hệ và đề nghị một thỏa thuận để đền bù cho họ bằng cách tôn vinh các khoản lỗ của họ với tư cách là nhà đầu tư thiên thần trong giao thức.

Họ sẽ nhận được Token LiFi theo các điều khoản tương tự như các nhà đầu tư thiên thần khác với số tiền tương đương với khoản lỗ của họ từ mỗi ví. Điều này cũng sẽ giúp giảm thiểu thiệt hại cho kho quỹ nền tảng.

Tin tặc cũng đã được liên hệ và đề nghị một khoản tiền thưởng lỗi để trả lại tiền.

Cuộc tấn công dường như đã đến vào một thời điểm không may. Giám đốc điều hành của Li Finance, Philipp Zentner, nói với Cointelegraph vào ngày 21 tháng 3 rằng Chúng tôi sẽ tăng thêm một tuần nữa kể từ cuộc kiểm toán của chúng tôi, đồng thời nói thêm rằng chúng tôi có nhiều công ty đang test chúng tôi.

Tuy nhiên, ngay cả khi test kỹ lưỡng mã cũng có thể không phát hiện ra lỗi cụ thể này, theo một nhà nghiên cứu Transmission11 tại công ty đầu tư tiền điện tử Paradigm. Anh ấy giải thích trong một tweet ngày 21 tháng 3 rằng lỗi trong mã Li Finance rất dễ bỏ sót và tinh vi nếu bạn không có suy nghĩ đúng đắn.

Vụ hack mới nhất này trong lĩnh vực tài chính phi tập trung (DeFi) cho thấy việc đưa ra phê duyệt vô hạn đối với các hợp đồng thông minh sẽ khiến tiền của người dùng gặp rủi ro lớn hơn như thế nào. Phê duyệt vô hạn cho phép người dùng hoán đổi tiền xu trên nền tảng giao dịch phi tập trung (DEX) không giới hạn số lần mà không cần phê duyệt thêm bất kỳ giao dịch nào.

Theo CoinTelegraph