Nền tảng DeFi LI.FI bị khai thác, mất hơn 8 triệu đô la để tấn công

by

Là một nhà đầu tư tiền điện tử dày dạn kinh nghiệm với nhiều năm kinh nghiệm, tôi không thể không cảm thấy thất vọng và thất vọng khi nghe về cách khai thác mới nhất trên giao thức LI.FI. Với hơn 8 triệu đô la tiền của người dùng bị đánh cắp thông qua một lỗ hổng tương tự đã được xác định trước đó và được cho là đã xử lý vào tháng 3 năm 2022, thật thất vọng khi thấy lịch sử lặp lại.

Tài sản trị giá hơn 8 triệu đô la đã bị lấy bất hợp pháp từ giao thức LI.FI của nền tảng tài chính phi tập trung (DeFi).

Công cụ tổng hợp giao dịch chuỗi chéo LI.FI có một số giao dịch đáng ngờ được Cyvers Alerts xác định.

LI.FI đưa ra cảnh báo sau khi khai thác 8 triệu USD

“Vào ngày 16 tháng 7, LI.FI đã thừa nhận một lỗ hổng đáng ngờ trong hệ thống của họ thông qua X và kêu gọi người dùng không tương tác với bất kỳ ứng dụng nào do LI.FI cung cấp vào thời điểm hiện tại. Người ta đã làm rõ rằng vấn đề này chỉ ảnh hưởng đến những người đặt thủ công phê duyệt vô hạn , nghĩa là người dùng không thực hiện hành động này sẽ không gặp rủi ro.”

Xin vui lòng không tương tác với bất kỳ ứng dụng hỗ trợ nào vào lúc này!

Chúng tôi đang điều tra một hành vi khai thác tiềm ẩn. Nếu bạn không đặt mức phê duyệt vô hạn, bạn sẽ không gặp rủi ro.

Chỉ những người dùng đã đặt mức phê duyệt vô hạn theo cách thủ công mới bị ảnh hưởng.

Thu hồi tất cả…

— LI.FI (@lifiprotocol) Ngày 16 tháng 7 năm 2024

Dựa trên báo cáo của Cybers Alerts, hơn 8 triệu USD tiền của người dùng đã bị đánh cắp, trong đó một phần đáng kể là stablecoin. Theo thông tin trên chuỗi, ví của kẻ trộm chứa khoảng 1.715 Ether (ETH), trị giá khoảng 5,8 triệu USD, cùng với các stablecoin USDC, USDT và DAI.

ALERT@lifiprotocol, Hệ thống của chúng tôi đã phát hiện các giao dịch đáng ngờ liên quan đến

của bạn

Chúng tôi khuyên người dùng nên thu hồi sự chấp thuận của họ đối với: 0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae

Cho đến nay, hơn 8 triệu đô la đã bị rút khỏi người dùng và chủ yếu là stablecoin!…

— Cảnh báo của Cyvers (@CyversAlerts) Ngày 16 tháng 7 năm 2024

Với tư cách là một nhà đầu tư tiền điện tử có trách nhiệm, tôi sẽ chú ý đến cảnh báo của Cyvers Alerts và nhanh chóng thu hồi mọi ủy quyền liên quan đến cuộc tấn công đang diễn ra. Tác nhân độc hại hiện đang hoán đổi USDC và USDT lấy ETH, vì vậy việc thực hiện hành động này có thể hạn chế khả năng tôi gặp phải tình huống này.

Decurity, một công ty chuyên về bảo mật tiền điện tử, đã làm sáng tỏ sự cố khai thác gần đây. Họ tiết lộ rằng nó tập trung vào cầu LI.FI và cho rằng nguyên nhân là do một lỗ hổng tiềm ẩn trong chức năng “depositToGasZipERC20” của GasZipFacet, mới ra mắt được 5 ngày.

Nói một cách đơn giản hơn, những mối nguy hiểm tiềm ẩn liên quan đến bộ định tuyến và hoán đổi chuỗi chéo chủ yếu xoay quanh việc phê duyệt mã thông báo. Các token không được bao bọc, chẳng hạn như Ethereum gốc (ETH), không cung cấp các tùy chọn phê duyệt, khiến chúng ít bị tấn công hơn. Việc thực hiện phê duyệt vô hạn, trước đây cho phép các hợp đồng thông minh kiểm soát hoàn toàn việc loại bỏ bất kỳ số lượng token nào, giờ đây phần lớn đã bị người dùng và ví bỏ qua. Do đó, điều quan trọng là bạn phải biết các mã thông báo cụ thể mà bạn đang phê duyệt để tương tác với các hợp đồng cụ thể.

Dựa trên kinh nghiệm sâu rộng của tôi trong lĩnh vực tiền điện tử cũng như làm việc với nhiều ví và công cụ giám sát giao dịch khác nhau, tôi có thể cho bạn biết rằng trang tổng quan này được thiết kế để xác định các giao dịch liên quan đến một thực thể hoặc giao thức cụ thể có tên là Lifi cho tất cả người dùng. Không phải mọi giao dịch trong số này đều tiềm ẩn rủi ro, nhưng điều quan trọng là phải nhận ra rằng sự tích hợp và các lớp công nghệ, chẳng hạn như cách các cầu nối Metamask sử dụng Lifi trên Chuỗi thông minh Binance (BSC), có thể tăng thêm sự phức tạp trong cách người dùng quản lý tài sản của họ và có thể khiến họ gặp khó khăn. họ đang gặp nguy hiểm.

Một biện pháp bảo mật khác được đề xuất bởi Carlos Mercado, Nhà khoa học dữ liệu tại Flipside Crypto, là tạo định kỳ các địa chỉ tiền điện tử mới mà không cần phê duyệt trước đó. Bằng cách chuyển mã thông báo của bạn đến địa chỉ mới được tạo, bạn đang triển khai một lớp bảo mật bổ sung trong ví kỹ thuật số của mình.

Gương khai thác gần đây Cuộc tấn công tháng 3 năm 2022

Kiểm tra sâu hơn của PeckShield đã phát hiện ra rằng lỗ hổng được xác định có điểm giống với một cuộc tấn công trước đó vào giao thức của LI.FI, diễn ra vào ngày 20 tháng 3 năm 2022. Trong sự cố trước đó, một kẻ độc hại đã khai thác thành công hợp đồng thông minh của LI.FI, tập trung vào chức năng hoán đổi của nó , trước khi chuyển tài sản bị đánh cắp sang một blockchain khác thông qua cầu nối.

Kẻ tấn công đã tìm ra cách lừa hệ thống thực hiện các hợp đồng mã thông báo trực tiếp thông qua hợp đồng của chính họ, khiến người dùng có quyền phê duyệt không giới hạn phải chịu tổn hại tiềm ẩn. Hành vi lừa dối này đã dẫn đến việc đánh cắp khoảng 205 Ether từ 29 ví, ảnh hưởng đến nhiều loại token khác nhau bao gồm USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT và DAI.

Là một nhà đầu tư tiền điện tử dày dạn kinh nghiệm, tôi không thể không suy ngẫm về những điểm tương đồng giữa tình hình hiện tại và những sự cố trong quá khứ. Theo cảnh báo gần đây của PeckShield, lỗi mà họ xác định được rất quen thuộc. Vậy chúng ta đã thực sự rút ra được bài học từ kinh nghiệm trong quá khứ chưa?

Sau sự cố năm 2022, LI.FI đã tạm thời dừng tất cả các chức năng hoán đổi trong hợp đồng thông minh của họ để cải tiến và ngăn ngừa những điểm yếu trong tương lai. Tuy nhiên, sự xuất hiện của một cách khai thác tương tự khác đã đặt ra nghi ngờ về các giao thức bảo mật của nền tảng và đặt câu hỏi liệu các biện pháp đầy đủ có được thực hiện để giải quyết các lỗ hổng được phát hiện trong vụ hack trước đó hay không.

LI.FI hoạt động như một nền tảng hợp nhất cho phép người dùng thực hiện giao dịch trên nhiều mạng blockchain, thị trường và giải pháp tương tác.

2024-07-16 18:53