Li Finance 掉期聚合器经历了一次智能合约攻击,导致 29 个用户的钱包损失了约 600,000 美元。
该漏洞利用发生在 3 月 20 日 UTC 时间凌晨 2:51。攻击者能够从对 Li Finance 协议给予“无限批准”的钱包中提取不同数量的 10 种不同代币。 被盗代币包括 USD Coin (USDC)、Polygon (MATIC)、Rocket Pool (RPL)、Gnosis (GNO)、Tether (USDT)、Metaverse Index (MVI)、Audius (AUDIO)、AAVE (AAVE)、Jarvis Reward代币 (JRT) 和 DAI (DAI)。
TLDR:
• 约 60 万美元从 29 个钱包中被盗
• 用户无需做任何事情
• Bug 已修复并已部署https://t.co/fqOxJxDrZs— LI.FI – Any-2-Any Swaps (,) (@lifiprotocol) 2022 年 3 月 21 日
当团队在 12 小时后的 2:15 pm UTC 获悉该漏洞时,它关闭了平台上的所有交易所功能,以防止任何进一步的损失。
到 3 月 21 日 UTC 凌晨 2:50,该团队发布了一份详细说明漏洞利用事件的验尸报告。 该团队表示,攻击者将被盗代币换成总计约 205 个以太币(ETH),价值约 60 万美元。 在撰写本文时,被盗的 ETH 尚未从攻击者的钱包中转移。 LiFi 还向用户保证,该错误已被识别和修补。
今天的 LiFi 黑客事件之所以发生,是因为它的内部 swap() 函数会使用攻击者传入的任何消息调用任何地址。这使得攻击者可以让合约 transferFrom() 从任何批准合约的人那里取出资金。 pic.twitter.com/NA3xW7ReUd
——丹尼尔·冯·方格 (@danilvf) 2022 年 3 月 20 日
在这次攻击中被击中的 29 个钱包中,有 25 个已从国库基金中得到补偿。 这 25 个钱包仅占 80,000 美元,占损失总额的 13%。 其余四个钱包的所有者共损失了 517,000 美元,并已与他们联系,并提出一项协议,以补偿他们作为协议中的天使投资者的损失。
他们将按照与其他天使投资者相同的条款获得 LiFi 代币,金额等于他们从每个钱包中损失的金额。 这也将有助于减轻对平台金库的损害。
还联系了黑客并提供了漏洞赏金以返还资金。
Li Finance 团队主动向黑客提供漏洞赏金。
这次袭击似乎发生在一个不幸的时刻。 Li Finance 首席执行官 Philipp Zentner 于 3 月 21 日告诉 Cointelegraph,“我们离审计还有一周的时间”,并补充说“我们有多家公司在审计我们。”
然而,根据加密货币投资公司 Paradigm 的研究人员“Transmissions11”的说法,即使是对代码的彻底审计也可能没有发现这个特定的错误。 他在 3 月 21 日的推文中解释说,Li Finance 的代码中的错误很容易被忽略,而且“如果你的心态不正确,就会很微妙”。
“倒霉”:Agave 和 Hundred Finance DeFi 协议被利用了 1100 万美元
去中心化金融 (DeFi) 领域的最新黑客攻击展示了无限批准智能合约如何使用户的资金面临更大的风险。 无限批准允许用户在去中心化交易所(DEX)无限次交易所硬币,而无需批准任何更多交易。
内容搜集自网络,整理者:BTCover,如若侵权请联系站长,会尽快删除。
