Người dùng giao thức Li Finance (LiFi) đã phải chịu thiệt hại lên tới khoảng 600.000 đô la, một trong số nạn nhân đã được hoàn trả sau khi một hacker khai thác một lỗi trong hợp đồng thông minh của dự án.
Dự án tổng hợp giao dịch trao đổi (Swap Aggregator) Li Finance đã gặp phải tình trạng bị khai thác hợp đồng thông minh dẫn đến việc mất khoảng 600.000 đô la từ ví của 29 người dùng.
Việc khai thác diễn ra vào lúc 2:51 sáng UTC vào ngày 20 tháng 3. Kẻ tấn công có thể rút được số lượng khác nhau của 10 token khác nhau từ các ví đã cho phép “chấp thuận vô hạn” đối với giao thức Li Finance. Trong số các token bị đánh cắp có USD Coin ( USDC ), Polygon ( MATIC ), Rocket Pool (RPL), Gnosis (GNO), Tether ( USDT ), Metaverse Index (MVI), Audius (AUDIO), AAVE ( AAVE ), Jarvis Reward Token (JRT) và DAI (DAI).
TLDR:
• ~$600K have been stolen from 29 wallets
• User don’t have to do anything
• Bug has been fixed and is already deployedhttps://t.co/fqOxJxDrZs— LI.FI (@lifiprotocol) March 21, 2022
Khi nhóm phát hiện về việc bị khai thác 12 giờ sau vào lúc 2:15 chiều giờ UTC, họ đã đóng tất cả các chức năng trao đổi trên nền tảng để ngăn chặn bất kỳ tổn thất nào tiếp theo.
Đến 2:50 sáng UTC ngày 21 tháng 3, nhóm nghiên cứu đã phân tích chi tiết sự kiện bị khai thác lỗ hổng. Nhóm nghiên cứu cho biết rằng kẻ tấn công đã trao đổi các token bị đánh cắp với tổng số khoảng 205 Ether ( ETH ) trị giá khoảng 600.000 đô la. Tại thời điểm viết bài, ETH bị đánh cắp vẫn chưa được chuyển khỏi ví của kẻ tấn công . LiFi cũng đảm bảo với người dùng rằng lỗi đã được xác định và đã được sửa.
Today’s LiFi hack happed because its internal swap() function would call out to any address using whatever message the attacker passed in. This allowed the attacker to have the contract transferFrom() out the funds from anyone who had approved the contract. pic.twitter.com/NA3xW7ReUd
— Daniel Von Fange (@danielvf) March 20, 2022
Trong số 29 ví bị tấn công trong cuộc tấn công này, 25 ví đã được bồi thường từ quỹ kho bạc. 25 chiếc ví đó chỉ chiếm 80.000 USD, tương đương 13% tổng giá trị bị mất. Chủ sở hữu của bốn ví còn lại bị mất tổng cộng 517.000 đô la đã được liên hệ và đề nghị một thỏa thuận để đền bù cho họ bằng cách tôn vinh các khoản lỗ của họ với tư cách là nhà đầu tư thiên thần trong giao thức.
Họ sẽ nhận được token LiFi theo các điều khoản tương tự như các nhà đầu tư thiên thần khác với số tiền tương đương với khoản lỗ của họ từ mỗi ví. Điều này cũng sẽ giúp giảm thiểu thiệt hại cho kho quỹ của nền tảng.
Hacker cũng đã được liên hệ và đưa ra một khoản tiền thưởng khi phát hiện được lỗi để trả lại số tiền mà người này đã khai thác từ lỗ hổng bảo mật.Cuộc tấn công dường như đã đến vào một thời điểm không mấy may mắn đối với dự án này. Giám đốc điều hành của Li Finance, Philipp Zentner, nói vào ngày 21 tháng 3 rằng “Còn một tuần nữa là đến cuộc kiểm toán của chúng tôi”, ông còn nói thêm rằng “hiện đang có nhiều công ty đang kiểm tra bảo mật cho chúng tôi”.
Tuy nhiên, ngay cả khi kiểm tra kỹ lưỡng code của dự án thì cũng vẫn có thể không phát hiện ra lỗi cụ thể này, theo một nhà nghiên cứu “Transmission11” tại công ty đầu tư tiền điện tử Paradigm. Anh ấy giải thích trong một tweet ngày 21 tháng 3 rằng lỗi trong code của Li Finance rất dễ bị bỏ sót và “rất khó nếu bạn không có tư duy đúng đắn.”
Liên quan: ‘Không may mắn:’ Giao thức Agave và Hundred Finance DeFi được khai thác với giá 11 triệu đô la
Vụ hack mới nhất này trong lĩnh vực tài chính phi tập trung ( DeFi ) cho thấy việc đưa ra chấp nhận vô hạn đối với các hợp đồng thông minh sẽ khiến tiền của người dùng gặp rủi ro lớn như thế nào. Chấp nhận vô hạn cho phép người dùng swap token tại một sàn giao dịch phi tập trung ( DEX ) không giới hạn số lần mà không cần phê duyệt thêm bất kỳ giao dịch nào.
Nguồn: cointelegraph.com