Das Cross-Chain-Handelsprotokoll LI.FI wurde laut der Sicherheitsplattform Beosin Alert am Dienstag Opfer eines sogenannten „Call-Injection-Angriffs“. Dabei wurden Kryptowährungen im Wert von rund 10 Millionen US-Dollar gestohlen, darunter 6,3 Millionen USDT, 3,2 Millionen USDC und 169.000 DAI.
Lesen Sie auch: Kraken deckt Sicherheitslücke auf, die es skrupellosen „Sicherheitsforschern“ ermöglichte, 3 Millionen Dollar zu erbeuten
LI.FI-Mitbegründer Philipp Zentner bestätigte dendent auf X (ehemals Twitter) und merkte an, dass nur Nutzer betroffen seien, die manuell „unbegrenzte Genehmigungen“ aktiviert hatten. „Bitte nutzen Sie vorerst keine LI.FI-basierten Anwendungen. Wir untersuchen eine mögliche Sicherheitslücke“, schrieb Zentner.
LI.FI wurde angeblich über denselben alten Bug gehackt
Die Schwachstelle wurde in der Funktion „depositToGasZipERC20()“ des LI.FI-tractrac. Laut Beosins Analyse kann die Funktion zwar bestimmte Token gegen Plattform-Token tauschen und diese im GasZip-trachinterlegen, jedoch werden die Daten für den Funktionsaufruf nicht eingeschränkt. Dies ermöglicht es Angreifern, Vermögenswerte von Nutzern abzuheben, die über die entsprechenden Genehmigungen für dentracverfügen.
Die Sicherheitsplattform Peckshield berichtete, dass LI.FI bereits vor zwei Jahren aufgrund derselben Sicherheitslücke angegriffen wurde. „Bei der Analyse des heutigen LI.FI-Protokoll-Hacks stießen wir auf einen früheren Angriff auf dasselbe Protokoll vom 20. März 2022“, schrieb Peckshield auf X. „Der Fehler ist im Grunde derselbe.“
Bei der Analyse des heutigen Hacks von @lifiprotocol stellten wir einen früheren Hack desselben Protokolls am 20. März 2022 fest.
Der Fehler ist im Grunde derselbe. https://t.co/YcuEe4efOT
Lernen wir aus den vergangenen Lektionen? https://t.co/nV4IuX7T7j pic.twitter.com/aVB6FQ3MnT
— PeckShield Inc. (@peckshield) 16. Juli 2024
Beim Hack des LI.FI-Protokolls im Jahr 2022 wurden Vermögenswerte im Wert von rund 600.000 US-Dollar gestohlen und aus dem Protokoll abgezogen; 29 Wallets waren betroffen. Das Team gab in einem Abschlussbericht bekannt, dass der Fehler behoben und alle betroffenen Nutzer entschädigt wurden.
Lesen Sie auch: Bislang wurden im Jahr 2024 Kryptowährungsdiebstähle im Wert von fast 1,4 Milliarden US-Dollar verzeichnet.
Bislang gibt es, zumindest zum jetzigen Zeitpunkt, keine Informationen über eine Entschädigung für die vom jüngsten Hackerangriff betroffenen Nutzer. LI.FI gab jedoch bekannt, den Vorfall zu untersuchen und riet Nutzern, bis auf Weiteres keine LI.FI-basierten Anwendungen zu verwenden.
Der heutigedent ereignet sich etwas mehr als ein Jahr, nachdem LI.FI in einer Serie-A-Finanzierungsrunde 17,5 Millionen US-Dollar eingesammelt hatte, um DeFi Nutzern den Handel über verschiedene Blockchains, Handelsplätze und Brücken hinweg zu ermöglichen. Das Unternehmen gibt an, ein Transaktionsvolumen von über 10 Milliarden US-Dollar abgewickelt zu haben.
