Во вторник платформа безопасности Beosin Alert сообщила о том, что протокол кроссчейн-торговли LI.FI подвергся атаке с использованием «внедрения вызовов». Из протокола были украдены криптовалютные активы на сумму около 10 миллионов долларов, включая 6,3 млн USDT, 3,2 млн USDC и 169 тыс. DAI.
Читайте также: Kraken обнаружил ошибку, позволившую недобросовестным «исследователям безопасности» получить прибыль в размере 3 миллионов долларов.
Соучредитель LI.FI Филипп Зентнер подтвердилdent на X (ранее Twitter), отметив, что пострадали только пользователи, которые вручную установили «бесконечное количество подтверждений». «Пожалуйста, пока не взаимодействуйте с приложениями, работающими на платформе LI.FI. Мы расследуем потенциальную уязвимость», — написал Зентнер.
По имеющимся данным, компанию LI.FI взломали с помощью той же самой старой уязвимости
Уязвимость была tracв функции «depositToGasZipERC20()»tracLI.FI. Согласно анализу Беосина, эта функция может обменивать указанные токены на токены платформы и вносить их вtracGasZip, но она не ограничивает данные для вызова, что позволяет злоумышленнику выводить активы у пользователей, имеющих разрешение на использованиеtrac.
В другом месте другая платформа безопасности, Peckshield, сообщила, что LI.FI также был взломан два года назад из-за той же уязвимости. «Анализируя сегодняшний взлом протокола LI.FI, мы заметили более ранний взлом того же протокола 20 марта 2022 года», — написала Peckshield на X. «Уязвимость, по сути, та же самая»
Анализируя сегодняшнюю @lifiprotocol , мы заметили более раннюю взлому того же протокола, произошедшую 20 марта 2022 года.
Ошибка практически та же. https://t.co/YcuEe4efOT
Усвоили ли мы что-нибудь из прошлых уроков? https://t.co/nV4IuX7T7j pic.twitter.com/aVB6FQ3MnT
— PeckShield Inc. (@peckshield) 16 июля 2024 г.
В ходе взлома протокола LI.FI в 2022 году было украдено и выведено из протокола активов на сумму около 600 000 долларов, пострадали 29 кошельков. Команда сообщила в отчете о результатах взлома, что ошибка исправлена, и всем пострадавшим пользователям были возмещены убытки.
Читайте также: В 2024 году кража криптовалюты достигла почти 1,4 миллиарда долларов.
На данный момент, по крайней мере на момент написания статьи, никаких обсуждений о возмещении убытков пользователям, пострадавшим от последнего взлома, не ведется. Однако компания LI.FI сообщила, что расследует источник уязвимости и посоветовала пользователям временно воздержаться от взаимодействия с любыми приложениями, работающими на платформе LI.FI.
Сегодняшнийdent произошел чуть более чем через год после того, как LI.FI привлекла 17,5 миллионов долларов в рамках раунда финансирования серии А, чтобы дать возможность пользователям DeFi торговать между различными блокчейнами, площадками и мостами. Компания утверждает, что обеспечила общий объем переводов на сумму более 10 миллиардов долларов.
