LI.FI потеряла около $9 миллионов в результате взлома

Кросс-чейн блокчейн-протокол LI.FI был взломан, сообщила команда на социальной платформе X. Команда расследует возможный взлом, который, по-видимому, затрагивает только пользователей, вручную настроивших определенные функции.

"Пожалуйста, не взаимодействуйте с любыми приложениями на базе LI.FI в данный момент," написала команда LI.FI. "Мы расследуем потенциальную уязвимость. Если вы не устанавливали бесконечное одобрение, вы не в опасности."

“[М]ы настоятельно призываем всех пользователей немедленно воспользоваться нашим изолированным сайтом для отзыва,” написала команда LI.FI, добавив, что “выявлено еще 4 нарушения безопасности.” 

Компания по безопасности Decurity заявила, что “коренной причиной” является “произвольный вызов с данными, контролируемыми пользователем” к газовому контракту, развернутому пять дней назад для оплаты блокчейн-комиссий на Ethereum ETH +1.23% .

“Хакер создал специальный calldata с вызовами transferFrom() и передал его как swapData в depositToGasZipERC20, чтобы украсть одобренные токены с моста,” написали исследователи Decurity на X. 

Атака, по-видимому, является версией уязвимости “внедрение вызова”, которая позволяет злоумышленникам использовать параметры в исходном коде для выполнения легитимных, но неожиданных транзакций. Сообщается, что этот тип уязвимости привел к потере криптовалюты на сотни миллионов долларов.

Кошелек, содержащий украденные средства, контролирует более $4 миллионов в ETH и почти $200,000 в DAI стейблкоинах, согласно данным DeFi World . Однако эта сумма, вероятно, занижена, так как стейблкоины USDT и USDC также, по-видимому, покидают платформу. Компания по безопасности Certik оценивает общие потери примерно в $9 миллионов.

Peckshield , другая компания по безопасности, утверждает, что аналогичная атака произошла с LI.FI в 2022 году.