Криптовалютная платформа потеряла $8 млн в результате атаки

Протокол децентрализованных финансов (DeFi) LI.FI Finance пострадал от эксплойта стоимостью более 8 миллионов долларов. Команда подтвердила атаку, в результате которой были заражены несколько контрактов Ethereum (ETH) и другие криптовалюты, включая стейблкоины.

После подтверждения действия LI.FI попросила своих пользователей отозвать все разрешения, предоставленные контрактам. Эта афера имеет сходство с другой атакой, которой подвергся протокол в 2022 году, но которая была гораздо более серьезной.

LI.FI выпустил предупреждение после атаки на 8 миллионов долларов

По данным команды LI.FI, нападение произошло сегодня утром во вторник (16). Вскоре после обнаружения протокол появился в социальных сетях и предупредил пользователей о вторжении.

«На данный момент не взаимодействуйте с приложениями, разработанными с помощью http://LI.FI! Мы расследуем потенциальную уязвимость», — заявили в команде.

Команда уточнила, что атака затронула только пользователей, которые размещали неограниченное количество одобрений контрактов. Другими словами, аккаунты, имеющие автоматизированную систему авторизации. Другие пользователи не подвергаются риску, хотя протокол просит их не одобрять ни один из затронутых контрактов.

По данным Cyvers Alerts, злоумышленники похитили из протокола более $8 млн средств. Большая часть денег состоит из стейблкоинов, таких как USDC, USDT и DAI, на долю которых приходится 5,8 миллиона долларов украденных средств.

«Наша система выявила подозрительные транзакции с участием LI.FI. Мы рекомендуем пользователям отозвать одобрение контракта 0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae. На данный момент от пользователей, в основном из стейблкоинов, было украдено более 8 миллионов долларов», — заявил Сайверс.

Риск одобрения

Другой компанией, подтвердившей атаку, стала Decurity, которая предоставила информацию об атаке. По данным компании, злоумышленники атаковали мост LI.FI.

В целом риски, связанные с мостами, связаны с одобрением токенов. Другими словами, когда пользователь предоставляет авторизацию, он может оставить свои токены без риска в случае вторжения.

Вообще говоря, собственные активы защищены от такого рода хаков, поскольку для них не требуется одобрение. Но когда они проходят через мосты и становятся «обернутыми» активами (например, Wrapped Ethereum – WETH), необходимо предоставить авторизацию, что увеличивает уязвимость.

Большинство пользователей и кошельков также больше не выполняют «бесконечные одобрения», поскольку они предоставляют смарт-контракту полный контроль над удалением любого количества ваших токенов. Поэтому, если хакер завладеет контрактом, он сможет украсть все, что захочет.

Дежа вю 2022 года

Дальнейший анализ, проведенный PeckShield, показал, что последняя атака аналогична предыдущей атаке на протокол LI.FI, произошедшей 20 марта 2022 года. В прошлой атаке хакер использовал смарт-контракт перед захватом моста, что является обратным ходом тому, что произошло во время этой атаки.

Злоумышленник манипулировал системой, чтобы вызвать контракты токенов непосредственно в контексте их контракта, что сделало уязвимыми пользователей, которые давали бесконечное одобрение. Этот эксплойт привел к краже примерно 205 ETH из 29 кошельков.

После инцидента 2022 года LI.FI отключила все методы обмена в своем смарт-контракте и работала над разработкой исправления для предотвращения будущих уязвимостей. Однако новый недостаток вызывает вопросы об эффективности этих мер.