Протокол LI.FI потерял 10 миллионов долларов в результате второй хакерской атаки из-за той же старой ошибки

Во вторник платформа безопасности Beosin Alert сообщила о том, что протокол кроссчейн-торговли LI.FI подвергся атаке с использованием «внедрения вызовов». Из протокола были украдены криптовалютные активы на сумму около 10 миллионов долларов, включая 6,3 млн USDT, 3,2 млн USDC и 169 тыс. DAI. 

Читайте также: Kraken обнаружил ошибку, позволившую недобросовестным «исследователям безопасности» получить прибыль в размере 3 миллионов долларов.

Соучредитель LI.FI Филипп Зентнер подтвердилdent на X (ранее Twitter), отметив, что пострадали только пользователи, которые вручную установили «бесконечное количество подтверждений». «Пожалуйста, пока не взаимодействуйте с приложениями, работающими на платформе LI.FI. Мы расследуем потенциальную уязвимость», — написал Зентнер. 

По имеющимся данным, компанию LI.FI взломали с помощью той же самой старой уязвимости

Уязвимость была tracв функции «depositToGasZipERC20()»tracLI.FI. Согласно анализу Беосина, эта функция может обменивать указанные токены на токены платформы и вносить их вtracGasZip, но она не ограничивает данные для вызова, что позволяет злоумышленнику выводить активы у пользователей, имеющих разрешение на использованиеtrac.

В другом месте другая платформа безопасности, Peckshield, сообщила, что LI.FI также был взломан два года назад из-за той же уязвимости. «Анализируя сегодняшний взлом протокола LI.FI, мы заметили более ранний взлом того же протокола 20 марта 2022 года», — написала Peckshield на X. «Уязвимость, по сути, та же самая»

Анализируя сегодняшнюю @lifiprotocol , мы заметили более раннюю взлому того же протокола, произошедшую 20 марта 2022 года.

Ошибка практически та же. https://t.co/YcuEe4efOT

Усвоили ли мы что-нибудь из прошлых уроков? https://t.co/nV4IuX7T7j pic.twitter.com/aVB6FQ3MnT

— PeckShield Inc. (@peckshield) 16 июля 2024 г.

В ходе взлома протокола LI.FI в 2022 году было украдено и выведено из протокола активов на сумму около 600 000 долларов, пострадали 29 кошельков. Команда сообщила в отчете о результатах взлома, что ошибка исправлена, и всем пострадавшим пользователям были возмещены убытки. 

Читайте также: В 2024 году кража криптовалюты достигла почти 1,4 миллиарда долларов.

На данный момент, по крайней мере на момент написания статьи, никаких обсуждений о возмещении убытков пользователям, пострадавшим от последнего взлома, не ведется. Однако компания LI.FI сообщила, что расследует источник уязвимости и посоветовала пользователям временно воздержаться от взаимодействия с любыми приложениями, работающими на платформе LI.FI. 

Сегодняшнийdent произошел чуть более чем через год после того, как LI.FI привлекла 17,5 миллионов долларов в рамках раунда финансирования серии А, чтобы дать возможность пользователям DeFi торговать между различными блокчейнами, площадками и мостами. Компания утверждает, что обеспечила общий объем переводов на сумму более 10 миллиардов долларов.