Li.Fi опубликовала отчет об инциденте после взлома на $11 млн

После взлома протокола Li.Fi на 11,6 миллиона долларов команда Li.Fi выпустила обновление, в котором излагаются технические детали взлома.

Протокол Li.Fi предоставляет своим пользователям прикладной интерфейс программирования (API), который используется для соединения и обмена цифровыми активами между блокчейнами.

Согласно обновлению безопасности, развертывание нового аспекта смарт-контракта стало эпицентром вредоносной атаки. Уязвимость в коде позволяла пользователям, вызывающим смарт-контракт, инициировать вызовы любого контракта без предварительной проверки.

Эта функция является результатом кода, взятого из библиотеки LibSwap, используемой для облегчения вызовов между децентрализованными биржами, поставщиками услуг и клиентами для координации процессов соединения и обмена активами.

Обычно эти вызовы проверяются по адресам из белого списка для обеспечения проверки. Однако Li.Fi объяснил, что человеческая ошибка при развертывании аспекта смарт-контракта была основной причиной уязвимости, которую использовал злоумышленник.

Команда Li.Fi подтвердила, что атака произошла в сетях Ethereum и Arbitrum и затронула 156 кошельков с включенной опцией «бесконечные одобрения». Пользователи, у которых эта опция не была включена, эксплоит не затронул.

Источник: протокол Li.Fi.

Представители Li.Fi заявили, что они сдержали эксплоит, устранили критическую уязвимость и связались с соответствующими правоохранительными органами для отслеживания украденных средств. На момент написания статьи проблема устранена, и Li.Fi работает нормально.

Не первый взлом

В марте 2022 года Li.Fi подвергся аналогичному эксплоиту, затронувшему пользователей с включенной опцией «бесконечного одобрения». Хакеры украли из протокола 600 000 долларов из 29 кошельков, прежде чем уязвимость была устранена.

Протокол быстро возместил инвесторам их потери, вернув 24 кошелька непосредственно из своей казны и предложив оставшимся пяти кошелькам план добровольной компенсации, аналогичный тому, который получили ранние инвесторы-ангелы Li.Fi.

Крипто-взломы нанесут ущерб отрасли в 2024 году

К сожалению, взломы и эксплоиты продолжают преследовать криптоиндустрию и, в частности, децентрализованный финансовый сектор.

Диаграмма, сравнивающая потери от взлома криптовалют в 2022–2024 годах. Источник: ТРМ.

Согласно недавнему отчету охранной фирмы Cyvers, потери от криптоэксплоитов в 2024 году приближаются к 1,4 миллиарда долларов, главным образом из-за фишинговых атак, и резко возросли с 2023 года.