Giao thức Li Finance bị hacker tấn công, thiệt hại khoảng 600.000 USD

Giao thức tổng hợp giao dịch hoán đổi Li Finance đã gặp lỗ hổng trong smart contract dẫn đến việc mất khoảng 600.000 đô la từ ví của 29 người dùng.

Cuộc tấn công diễn ra vào lúc 2:51 sáng UTC vào ngày 20 tháng 3. Kẻ tấn công có thể trích xuất số lượng khác nhau của 10 token khác nhau từ các ví đã cho phép “chấp thuận vô hạn” đối với giao thức Li Finance. Trong số các token bị đánh cắp có USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO), Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), AAVE (AAVE), Jarvis Reward Token (JRT) và DAI (DAI).

TLDR:

• ~$600K have been stolen from 29 wallets
• User don’t have to do anything
• Bug has been fixed and is already deployedhttps://t.co/fqOxJxDrZs

— LI.FI – Any-2-Any Swaps (🦎,🦎) (@lifiprotocol) March 21, 2022

Khi nhóm nghiên cứu biết về việc tấn công 12 giờ sau vào lúc 2:15 chiều giờ UTC, họ đã đóng tất cả các chức năng swap trên nền tảng để ngăn chặn bất kỳ tổn thất nào tiếp theo.

Đến 2:50 sáng UTC ngày 21 tháng 3, nhóm nghiên cứu đã điều tra chi tiết các sự kiện khai thác. Nhóm nghiên cứu cho biết rằng kẻ tấn công đã trao đổi các token bị đánh cắp với tổng số khoảng 205 Ether (ETH) trị giá khoảng 600.000 đô la. Tại thời điểm viết bài, ETH bị đánh cắp vẫn chưa được chuyển khỏi ví của kẻ tấn công. LiFi cũng đảm bảo với người dùng rằng lỗi đã được xác định và sửa chữa.

Today’s LiFi hack happed because its internal swap() function would call out to any address using whatever message the attacker passed in. This allowed the attacker to have the contract transferFrom() out the funds from anyone who had approved the contract. pic.twitter.com/NA3xW7ReUd

— Daniel Von Fange (@danielvf) March 20, 2022

Trong số 29 ví bị tấn công trong cuộc khai thác này, 25 ví đã được hoàn trả từ quỹ kho bạc cho những tổn thất của chúng. 25 ví này chỉ chiếm 80.000 USD, tương đương 13% tổng giá trị bị mất. Chủ sở hữu của bốn ví còn lại bị mất tổng cộng 517.000 đô la đã được liên hệ và đề nghị một thỏa thuận để đền bù cho họ bằng cách chuyển đổi các khoản tiền bị mất của họ với tư cách là nhà đầu tư thiên thần trong giao thức.

Họ sẽ nhận được token LiFi theo các điều khoản tương tự như các nhà đầu tư thiên thần khác với số tiền tương đương với khoản lỗ của họ từ mỗi ví. Điều này cũng sẽ giúp giảm thiểu thiệt hại cho kho bạc của nền tảng.

Hacker cũng đã được liên hệ và đưa ra một khoản tiền thưởng lỗi để trả lại tiền.

Đợt tấn công này dường như diễn ra không đúng lúc, giám đốc điều hành của Li Finance, Philipp Zentner, chia sẻ rằng “Chúng tôi thực sự còn một tuần nữa mới đến đợt kiểm toán”, nói thêm rằng “có nhiều công ty đang kiểm tra chúng tôi”.

Tuy nhiên, ngay cả khi kiểm tra kỹ lưỡng cũng có thể không phát hiện ra lỗi cụ thể này, theo một nhà nghiên cứu “Transmissions11” tại công ty đầu tư tiền điện tử Paradigm. Anh ấy giải thích trong một tweet ngày 21 tháng 3 rằng lỗi trong mã của Li Finance rất dễ bỏ sót và “rất khó nếu bạn không có suy nghĩ đúng đắn.”

GócTiềnẢo

Tham gia thảo luận cùng GTA team và săn kèo Gem, IDO, cập nhật tin tức thị trường nhanh nhất tại:
Channel News: https://t.me/goctienao
Channel Trading: https://t.me/gta_trading_channel