Il protocollo di trading cross-chain LI.FI è stato colpito da "un attacco di iniezione di chiamate", ha riportato martedì la piattaforma di sicurezza Beosin Alert. Circa 10 milioni di dollari in criptovalute, tra cui 6,3 milioni di USDT, 3,2 milioni di USDC e 169.000 DAI, sono stati rubati dal protocollo.
Il co-fondatore di LI.FI, Philipp Zentner, ha confermato l'dent su X (ex Twitter), sottolineando che sono stati colpiti solo gli utenti che hanno impostato manualmente "approvazioni infinite". "Per ora, vi preghiamo di non interagire con alcuna applicazione basata su LI.FI. Stiamo indagando su un potenziale exploit", ha scritto Zentner.
LI.FI presumibilmente hackerato tramite lo stesso vecchio bug
La vulnerabilità è stata tracalla funzione "depositToGasZipERC20()" deltracLI.FI. Secondo l'analisi di Beosin, la funzione può scambiare token specificati con token di piattaforma e depositarli neltracGasZip, ma non riesce a limitare i dati per l'invocazione della chiamata, il che consente all'aggressore di prelevare risorse dagli utenti che hanno l'approvazione per iltrac.
Altrove, un'altra piattaforma di sicurezza, Peckshield, ha segnalato che LI.FI era stato sfruttato anche due anni fa a causa della stessa vulnerabilità. "Analizzando l'attacco hacker al protocollo LI.FI di oggi, abbiamo notato un attacco precedente sullo stesso protocollo, risalente al 20 marzo 2022", ha scritto Peckshield su X. "Il bug è sostanzialmente lo stesso"
Analizzando l'attacco hacker odierno al @lifiprotocol , abbiamo notato un precedente attacco allo stesso protocollo avvenuto il 20 marzo 2022.
Il bug è fondamentalmente lo stesso. https://t.co/YcuEe4efOT
Stiamo imparando qualcosa dalle lezioni del passato? https://t.co/nV4IuX7T7j pic.twitter.com/aVB6FQ3MnT
— PeckShield Inc. (@peckshield) 16 luglio 2024
Durante l'attacco hacker al protocollo LI.FI del 2022, circa 600.000 dollari in asset sono stati rubati e sottratti al protocollo, con 29 wallet interessati. Il team ha dichiarato in un rapporto post-mortem che il bug è stato risolto e che tutti gli utenti interessati sono stati rimborsati.
Leggi anche: Nel 2024 si sono verificati finora furti di criptovalute per un valore di quasi 1,4 miliardi di dollari
Finora, non ci sono state discussioni sul rimborso degli utenti colpiti dall'ultimo attacco, almeno al momento in cui scriviamo. Tuttavia, LI.FI ha dichiarato di stare indagando sull'exploit e ha consigliato agli utenti di non interagire con alcuna applicazione basata su LI.FI nel frattempo.
L'dent di oggi arriva poco più di un anno dopo che LI.FI ha raccolto 17,5 milioni di dollari in un round di finanziamento di Serie A per consentire agli utenti DeFi di fare trading su diverse blockchain, sedi e bridge. L'azienda afferma di aver facilitato un volume di trasferimenti totale di oltre 10 miliardi di dollari.
