Por Angel Di Matteo @shadowargel
Los hackers habrían aprovechado una vulnerabilidad que permite redirigir las transacciones de los usuarios bajo ciertas condiciones. El equipo de LI.FI advierte a su comunidad no interactuar con el sitio web, y además revocar permisos a los contratos para mayor seguridad.
***
- Plataforma DeFi LI.FI está bajo ataque
- Las pérdidas se estiman en USD $9 millones
- Los atacantes aprovecharon una vulnerabilidad para redirigir fondos de los usuarios
- El equipo de la plataforma advierte a los usuarios sobre el ataque en curso
- Piden no interactuar con el sitio web y revocar permisos a los contratos inteligentes
El protocolo de finanzas descentralizadas que funciona en varias redes, LI.FI, fue víctima de un ataque que derivó en pérdidas estimadas en unos USD $9 millones.
LI.FI bajo ataque
De acuerdo con información publicada en varios reportes, el equipo de LI.FI alertó a la comunidad de usuarios a través de sus redes sociales, indicando que el ataque bien podría seguir en curso e instando a que no interactúen “con ninguna aplicación que funcione” con la plataforma por los momentos.
Según indicó el equipo de LI.FI, los atacantes estarían aprovechando un exploit que por ahora solo parece haber afectado a usuarios que configuran manualmente ciertas funciones. Por ende, piden a los usuarios revocar los permisos para más seguridad hasta nuevo aviso, y alertan que podrían haber otras cuatro brechas de seguridad que están aprovechando los responsables del ataque.
🚨 Update regarding the LiFi Approval Exploit.
We have identified 4 more exploited contracts, we have set up a secluded revoking website for the time being.
Revoke your https://t.co/w7PFWCmsu3 approvals now: https://t.co/OMUuSVF0EA pic.twitter.com/76yCX7w6sB
— LI.FI Protocol (@sasshoesksa) July 16, 2024
Dejando de lado especificaciones técnicas del ataque, la firma de seguridad Decurity indicó que la causa del exploit principal tiene que ver con uno de los contratos que interactúa con datos que están bajo el control de los usuarios. Los atacantes crearon un mecanismo para desviar fondos empleados en un puente vinculado, por lo que emplean parámetros en el código original para ejecutar transacciones inesperadas pero legítimas, con la cual toman control de los activos.
Por su parte, datos publicados por la firma Certik estiman que las pérdidas contabilizadas hasta ahora se acercan a los USD $9 millones, esto entre salidas sospechosas de ETH, DAI, USDT y USDC.
#CertiKInsight 🚨
Our alerting system has flagged multiple suspicious transactions involving EOA 0x8B3Cb6Bf982798fba233Bca56749e22EEc42DcF3
The wallet is currently holding $8.7m worth of assets
We are currently investigating pic.twitter.com/15OXsHeT9Y
— CertiK Alert (@CertiKAlert) July 16, 2024
Hackers asechan protocolos DeFi
El ataque contra LI.FI se suma a la larga lista de eventos desafortunados que tienen como objetivo a las plataformas DeFi, las cuales se han convertido en blanco de hackers y delincuentes a razón de las grandes cantidades de capital que mueven diariamente.
Recientemente, Compound Finance fue víctima de un ataque de tipo phishing perpetrado a través de su página oficial. Los atacantes tomaron control del portal y redirigieron a los usuarios a un sitio clónico para tomar control de sus credenciales y lograr acceso a sus monederos.
Ante este y otros tipos de eventos, los equipos responsables de las plataformas DeFi invierten grandes cantidades de capital para garantizar la robustez de sus protocolos, y con ello evitar posibles brechas que deriven en pérdidas para los usuarios.
Volviendo con LI.FI, un informe publicado por la firma de seguridad Peckshield asegura que la plataforma sufrió un ataque similar en 2022, por lo que en esta oportunidad estarían aprovechando una vulnerabilidad parecida a la de aquél entonces.
Artículo de Angel Di Matteo / DiarioBitcoin
Imagen de Unsplash
ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.