" Пользователи протокола Li Finance (LiFi) понесли убытки на сумму около 600 000 долларов, некоторые из них были возмещены после того, как хакер воспользовался ошибкой в смарт-контракте проекта.
Агрегатор свопов Li Finance столкнулся с эксплойтом смарт-контракта, что привело к потере около 600 000 долларов США из кошельков 29 пользователей.
Эксплойт был совершен 20 марта в 2:51 утра по всемирному координированному времени. Злоумышленник смог извлечь различное количество 10 различных токенов из кошельков, которые дали «бесконечное одобрение» протоколу Li Finance. Среди украденных токенов были USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO), Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), AAVE (AAVE), Jarvis Reward Token (JRT) и DAI (DAI).
Когда команда узнала об эксплойте 12 часов спустя в 14:15 по всемирному координированному времени, она отключила все функции обмена на платформе, чтобы предотвратить дальнейшие потери.
21 марта в 2:50 утра по Гринвичу команда опубликовала вскрытие с подробным описанием событий эксплойта. Команда заявила, что злоумышленник обменял украденные токены на общую сумму 205 ETH, которые соответствуют примерно 600 000 долларам. На момент написания статьи украденный ETH еще не был перемещен из кошелька злоумышленника. LiFi также заверил пользователей, что ошибка обнаружена и исправлена.
Короткий твит Li Finance по этому поводу сообщает буквально следующее:
• Около 600 тысяч долларов было украдено из 29 кошельков.
• Пользователю не нужно ничего делать.
• Ошибка исправлена и уже обновление уже развернуто.
«Сегодняшний взлом LiFi произошел потому, что его внутренняя функция swap() позволяла обращаться к любому адресу, используя любое сообщение, которое передал злоумышленник. Это позволило злоумышленнику получить контракт transferFrom() из средств любого, кто подписал транзакцию с контрактом», - написал Даниэль фон Фанге.
Из 29 кошельков, пострадавших в результате этой атаки, 25 получили возмещение из средств казны за свои убытки. На эти 25 кошельков приходилось только 80 000 долларов, или 13% от общей потерянной стоимости. С владельцами оставшихся четырех кошельков, которые потеряли в общей сложности 517 000 долларов, связались и предложили сделку, чтобы компенсировать им потери в качестве инвесторов-ангелов в протоколе.
Сообщается, что им предложены токены LiFi на тех же условиях, что и другим инвесторам-ангелам, в сумме, равной их потерям из каждого кошелька. Это также помогло бы смягчить ущерб для казны платформы.
Команда Li Finance также связалась с хакером, чтобы предложить вернуть средства и получить вознаграждение за обнаружение ошибки.
Похоже, нападение произошло в неудачное время. Генеральный директор Li Finance Филипп Зентнер сказал 21 марта, что «у нас осталась буквально неделя до нашего аудита», добавив, что «нас проверяют несколько компаний».
Однако, по словам исследователя Transmissions11 из криптоинвестиционной компании Paradigm, даже тщательный аудит кода мог бы не выявить эту конкретную ошибку. В своем твите от 21 марта он объяснил, что ошибку в коде Li Finance легко не заметить, и она «незаметна, если ваш ум не настроен соответственно».
Этот последний взлом в секторе децентрализованных финансов (DeFi) демонстрирует, как предоставление безлимитных разрешений смарт-контрактам подвергает средства пользователя большему риску. Безлимитные одобрения позволяют пользователям обменивать монеты на децентрализованной бирже (DEX) неограниченное количество раз без необходимости подтверждать какие-либо транзакции.
