O protocolo de negociação entre blockchains LI.FI foi alvo de um ataque de injeção de código, informou a plataforma de segurança Beosin Alert na terça-feira. Cerca de US$ 10 milhões em criptoativos, incluindo 6,3 milhões de USDT, 3,2 milhões de USDC e 169 mil DAI, foram roubados do protocolo.
Leia também: Kraken revela que falha permitiu que 'pesquisadores de segurança' desonestos explorassem US$ 3 milhões.
Philipp Zentner, cofundador da LI.FI, confirmou odent no X (antigo Twitter), observando que apenas os usuários que configuraram manualmente "aprovações infinitas" foram afetados. "Por favor, não interajam com nenhum aplicativo da LI.FI por enquanto. Estamos investigando uma possível vulnerabilidade", escreveu Zentner.
A LI.FI supostamente foi hackeada através da mesma falha de segurança de sempre
A vulnerabilidade foi tracaté a função “depositToGasZipERC20()” dotracLI.FI. De acordo com a análise da Beosin, a função pode trocar tokens específicos por tokens da plataforma e depositá-los notracGasZip, mas não restringe os dados da chamada, o que permite ao atacante retirar ativos de usuários que possuem aprovações para otrac.
Em outro contexto, a plataforma de segurança Peckshield relatou que o LI.FI também foi explorado há dois anos devido à mesma vulnerabilidade. "Ao analisar o ataque ao protocolo LI.FI hoje, notamos um ataque anterior ao mesmo protocolo em 20 de março de 2022", publicou a Peckshield no X. "O bug é basicamente o mesmo."
Ao analisar o ataque de hoje ao @lifiprotocol , notamos um ataque anterior ao mesmo protocolo em 20 de março de 2022.
O bug é basicamente o mesmo. https://t.co/YcuEe4efOT
Será que estamos aprendendo alguma coisa com as lições do passado? https://t.co/nV4IuX7T7j pic.twitter.com/aVB6FQ3MnT
— PeckShield Inc. (@peckshield) 16 de julho de 2024
Durante o ataque hacker ao protocolo LI.FI em 2022, cerca de US$ 600.000 em ativos foram roubados e drenados do protocolo, afetando 29 carteiras. A equipe afirmou em um relatório pós-ataque que a falha foi corrigida e todos os usuários afetados foram reembolsados.
Leia também: Roubos de criptomoedas já somam quase US$ 1,4 bilhão em 2024.
Até o momento, não há nenhuma discussão sobre o reembolso aos usuários afetados pelo ataque mais recente, pelo menos até a data desta publicação. No entanto, a LI.FI informou que está investigando a vulnerabilidade e aconselhou os usuários a não interagirem com nenhum aplicativo que utilize a plataforma LI.FI enquanto isso.
Odent de hoje ocorre pouco mais de um ano depois de a LI.FI ter arrecadado US$ 17,5 milhões em uma rodada de financiamento Série A para permitir que usuários DeFi negociem em diferentes blockchains, plataformas e pontes. A empresa afirma ter facilitado mais de US$ 10 bilhões em volume total de transferências.
