LI.FIプロトコル、同じバグによる2度目のハッキングで1000万ドルの損失

クロスチェーン取引プロトコルLI.FIが「コールインジェクション攻撃」を受けたと、セキュリティプラットフォームBeosin Alertが火曜日に報じた。同プロトコルから、630万USDT、320万USDC、16万9000DAIを含む約1000万ドル相当の暗号資産が盗まれた。. 

こちらもご覧ください： Krakenが、悪質な「セキュリティ研究者」が300万ドルを不正に利用できたバグを明らかに

LI.FIの共同創設者であるフィリップ・ゼントナー氏は、X（旧Twitter）で発生したdent 確認し、「無制限の承認」を手動で設定したユーザーのみが影響を受けたと指摘した。「今のところ、LI.FIを利用したアプリケーションにはアクセスしないでください。潜在的な脆弱性を調査中です」とゼントナー氏は述べた。. 

LI.FIは同じ古いバグでハッキングされたとされる

この脆弱性は、LI.FItracの「depositToGasZipERC20()」関数に tracしていることが判明しました。Beosin氏の分析によると、この関数は指定されたトークンをプラットフォームトークンと交換し、GasZiptracに入金することができますが、呼び出し呼び出しのデータに制限がないため、攻撃者はtracに承認されているユーザーから資産を引き出すことができます。.

一方、別のセキュリティプラットフォームであるPeckshieldは、LI.FIが2年前にも同じ脆弱性を悪用されたと報告しています。「本日のLI.FIプロトコルのハッキングを分析している際に、2022年3月20日に同じプロトコルでハッキングが発生していたことに気付きました」とPeckshieldはXに投稿しました。「バグは基本的に同じです。」

本日発生した @lifiprotocol ハッキング事件を分析したところ、2022年3月20日にも同じプロトコルでハッキング事件が発生していたことが判明しました。

バグは基本的に同じです。 https://t.co/YcuEe4efOT

私たちは過去の教訓から何かを学んでいるのだろうか？ https://t.co/nV4IuX7T7j pic.twitter.com/aVB6FQ3MnT

— PeckShield Inc. (@peckshield) 2024年7月16日

2022年に発生したLI.FIプロトコルのハッキングでは、約60万ドル相当の資産が盗まれ、プロトコルから流出し、29のウォレットが影響を受けました。チームは事後調査報告書の中で、バグは修正され、影響を受けたすべてのユーザーに返金されたと発表しました。. 

こちらもご覧ください: 2024年までに仮想通貨の盗難額は14億ドル近くに上る

少なくとも本稿執筆時点では、今回のハッキング被害を受けたユーザーへの補償については今のところ議論されていません。しかし、LI.FIは今回の脆弱性を調査中であり、その間はLI.FIを利用したアプリケーションを一切利用しないようユーザーに勧告しました。. 

本日のdent 、LI.FIがシリーズAの資金調達ラウンドで1,750万ドルを調達してから1年強後に発生しました。同社は、 DeFi ユーザーが複数のブロックチェーン、取引所、ブリッジ間で取引できるようにしています。同社は、総取引量が100億ドルを超えると主張しています。.