Protokol Li Finance (LiFi) adalah platform keuangan terdesentralisasi (DeFi) terbaru yang menjadi korban peretas. Sebuah celah dalam kontrak pintar swap pra-jembatan LI.FI dieksploitasi oleh aktor nakal, memungkinkan dia untuk mencuri berbagai jumlah USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT, dan DAI dengan total $600k dari 29 dompet, menurut posting blog 21 Maret 2022.
Protokol LI.FI Menderita Perampokan $600k
LI.Fi, protokol agregasi jembatan dengan konektivitas pertukaran terdesentralisasi (DEX), kemampuan pengiriman pesan data lintas-rantai, dan banyak lagi, telah mengalami serangan besar, memberikan aset digital senilai $600,000 kepada peretas.
Menurut posting blog oleh tim LI.FI, penyerang mengeksploitasi kerentanan dalam fitur swapping kontrak pintar LI FI tepat pada pukul 2:51 AM +UTC. Tim mengatakan peretas berhasil mendapatkan kendali penuh atas fitur swap pra-jembatan dan mampu membuat panggilan kontrak cerdas yang mentransfer token di dompet pengguna ke miliknya, berdasarkan kontrak token yang sebelumnya telah diberikan persetujuan tak terbatas oleh pengguna.
LI.FI menulis:
“Pada 20 Maret 2022, seorang penyerang mengeksploitasi kontrak pintar LI.FI, khususnya fitur swapping kami yang memungkinkan kami melakukan swap sebelum menjembatani. Alih-alih benar-benar bertukar, mereka dapat memanggil kontrak token secara langsung dalam konteks kontrak kami. Sebagai hasil dari eksploitasi, siapa pun yang memberikan persetujuan tak terbatas pada kontrak kami rentan, ”
Hanya dalam satu transaksi, tim mengatakan penyerang dapat mencuri Koin USD (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO) Tether (USDT), Metaverse Index (MVI), Audius dalam jumlah yang bervariasi. (AUDIO), Aave (AAVE), Jarvis Network (JRT), dan Dai (DAI).
Setelah eksploitasi yang berhasil, penyerang menukar token menjadi ether (ETH), tetapi belum mencuci dana yang dicuri pada saat penulisan. LI.FI telah menghubungi peretas dan sedang menunggu tanggapan.
“Pengeksploitasi LI.FI, kami menghargai Anda menunjukkan kerentanan dalam kontrak kami. Kami ingin mendiskusikan pengembalian dana pengguna dan potensi hadiahnya: [email dilindungi], ”tulis tim.
LI.FI Mengganti Uang Pengguna
Yang penting, dari 29 dompet yang terkena perampokan, Li Finance mengatakan telah mengembalikan 25 di antaranya (86 persen), dengan jumlah total $80k, dan sedang berbicara dengan pemilik empat dompet yang tersisa (ukuran nosional ~ $517 k) untuk mengubah dana yang hilang menjadi investasi malaikat ke dalam proyek, untuk mengurangi kerusakan pada perbendaharaan LI FI.
Tim LI FI mengatakan sekarang telah menemukan dan memperbaiki kerentanan dalam kontrak pintarnya, dan menyesal tidak meluangkan waktu untuk mengaudit platform secara menyeluruh sebelum ditayangkan.
“Dengan tidak menyelesaikan audit lebih awal, kami mengabaikan tugas kami untuk menawarkan keamanan setinggi mungkin. Misi kami adalah untuk memaksimalkan UX, dan sekarang kami telah belajar dengan susah payah bahwa langkah-langkah keamanan kami harus ditingkatkan secara drastis untuk mengikuti etos ini, ”kata LI.FI.
Dalam berita terkait, pada 15 Maret 2022, laporan muncul bahwa protokol DeFi Deus Finance telah mengalami serangan pinjaman kilat yang memungkinkan para peretas mencuri lebih dari $3 juta dalam bentuk kripto. Dan pada 18 Maret, crypto.berita melaporkan bahwa Agave and Hundred Finance kehilangan $11 juta dari peretas melalui eksploitasi bug reentrancy.
Sumber: https://crypto.news/li-finance-defi-protocol-600k-reimburse/