Il protocollo di trading cross-chain LI.FI è stato colpito da "un attacco di call injection", ha riferito martedì la piattaforma di sicurezza Beosin Alert. Dal protocollo sono stati rubati circa 10 milioni di dollari in asset crittografici, tra cui 6,3 milioni di USDT, 3,2 milioni di USDC e 169.000 DAI.
Leggi anche: Kraken rivela che un bug ha consentito a "ricercatori di sicurezza" disonesti di sfruttare 3 milioni di dollari
Il cofondatore di LI.FI Philipp Zentner ha confermato l'dent su X (ex Twitter), sottolineando che sono stati colpiti solo gli utenti che hanno impostato manualmente le "approvazioni infinite". “Per ora, non interagire con alcuna applicazione basata su LI.FI. Stiamo indagando su un potenziale exploit", ha scritto Zentner.
LI.FI presumibilmente è stato violato tramite lo stesso vecchio bug
La vulnerabilità è stata tracalla funzione “depositToGasZipERC20()” deltracLI.FI. Secondo l'analisi di Beosin, la funzione può scambiare token specifici con token della piattaforma e depositarli neltracGasZip, ma non riesce a limitare i dati per l'invocazione della chiamata, il che consente all'aggressore di prelevare risorse dagli utenti che hanno l'approvazione altrac.
Altrove, un’altra piattaforma di sicurezza Peckshield ha riferito che anche LI.FI è stato sfruttato due anni fa a causa della stessa vulnerabilità. "Mentre analizzavamo l'odierno hack del protocollo LI.FI, abbiamo notato un precedente hack sullo stesso protocollo il 20 marzo 2022," ha pubblicato Peckshield su X. "Il bug è fondamentalmente lo stesso."
Analizzando @lifiprotocol , notiamo un precedente hack sullo stesso protocollo il 20 marzo 2022.
Il bug è sostanzialmente lo stesso. https://t.co/YcuEe4efOT
Stiamo imparando qualcosa dalle lezioni passate? https://t.co/nV4IuX7T7j pic.twitter.com/aVB6FQ3MnT
— PeckShield Inc. (@peckshield) 16 luglio 2024
Durante l'hacking del protocollo LI.FI del 2022, circa 600.000 dollari in asset furono rubati e prosciugati dal protocollo, con 29 portafogli colpiti. Il team ha dichiarato in un rapporto post mortem che il bug è stato risolto e che tutti gli utenti interessati sono stati rimborsati.
Leggi anche: Finora il 2024 prevede quasi 1,4 miliardi di dollari di furti di criptovalute
Finora non ci sono discussioni sul rimborso degli utenti colpiti dall’ultimo hack, almeno al momento della stesura di questo articolo. Tuttavia, LI.FI ha dichiarato che sta indagando sull'exploit e ha consigliato agli utenti di non interagire nel frattempo con alcuna applicazione basata su LI.FI.
L’dent di oggi arriva poco più di un anno dopo che LI.FI ha raccolto 17,5 milioni di dollari in un round di finanziamento di serie A per consentire agli utenti DeFi di fare trading su diverse blockchain, sedi e bridge. Afferma di aver facilitato oltre 10 miliardi di dollari di volume totale di trasferimenti.
Cryptolitan Academy: stanco delle oscillazioni del mercato? Scopri come DeFi può aiutarti a costruire un reddito passivo costante. Registrati ora
