Giao thức Li Finance trở thành nạn nhân của vụ hack 600.000 đô la

Công ty tổng hợp giao dịch hoán đổi Li Finance (LiFi) đã trở thành nạn nhân của một vụ khai thác hợp đồng thông minh, dẫn đến việc mất khoảng 600.000 đô la từ ví của 29 người dùng.

Việc khai thác diễn ra lúc 2:51 sáng UTC vào ngày 20 tháng 3, tin tặc đã khai thác 10 mã thông báo khác nhau từ các ví đã cho phép “phê duyệt vô hạn” đối với giao thức Li Finance, bao gồm USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO), Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), AAVE (AAVE), Jarvis Reward Token (JRT) và DAI (DAI).

TLDR:

• ~$600K have been stolen from 29 wallets
• User don’t have to do anything
• Bug has been fixed and is already deployedhttps://t.co/fqOxJxDrZs
— LI.FI (@lifiprotocol) March 21, 2022

Sau khi phát hiện, vào lúc 2:15 chiều UTC ngày 20 tháng 3, nhóm nghiên cứu LiFi đã đóng tất cả các chức năng hoán đổi trên nền tảng để ngăn chặn các tổn thất tiếp theo.

Đến 2:50 sáng UTC ngày 21 tháng 3, nhóm nghiên cứu tiến hành kiểm tra chi tiết vụ khai thác. Nhóm cho biết tin tặc đã đổi các mã thông báo bị đánh cắp với khoảng 205 ETH trị giá khoảng 600.000 đô la. Tại thời điểm viết bài, số ETH được đổi vẫn chưa chuyển khỏi ví tin tặc. LiFi đã đảm bảo với người dùng rằng lỗi đã được xác định và sửa chữa.

Today’s LiFi hack happed because its internal swap() function would call out to any address using whatever message the attacker passed in. This allowed the attacker to have the contract transferFrom() out the funds from anyone who had approved the contract. pic.twitter.com/NA3xW7ReUd
— Daniel Von Fange (@danielvf) March 20, 2022

Trong số 29 ví bị tấn công, đã có 25 ví được hoàn trả từ quỹ kho bạc của LiFi cho những tổn thất của họ. Tuy nhiên, 25 ví đó chỉ chiếm khoảng 80.000 đô la, tương đương 13% tổng giá trị bị khai thác. Chủ sở hữu của 4 ví còn lại bị khai thác tổng cộng 517.000 đô la, đã được LiFi liên hệ và đề nghị thỏa thuận để đền bù bằng cách chuyển khoản lỗ của họ thành khoản đầu tư dành cho các nhà đầu tư thiên thần trong giao thức.

Họ sẽ nhận được mã thông báo LiFi theo các điều khoản tương tự như các nhà đầu tư thiên thần khác, tương ứng với số khoản lỗ của họ từ mỗi ví. Điều này cũng góp phần giảm thiểu thiệt hại cho kho bạc của nền tảng.

Li Finance cũng đã liên hệ với tin tặc và đưa ra một khoản tiền thưởng lỗi để họ trả lại số tiền đã khai thác.

Philipp Zentner (Giám đốc điều hành của Li Fiance) đã cho biết vào ngày 21 tháng 3 rằng:

Chúng tôi thực sự còn một tuần nữa mới đến đợt kiểm toán, và có nhiều công ty đang kiểm tra chúng tôi.

Tuy nhiên, ngay cả khi kiểm tra kỹ lưỡng các mã cũng khó có thể phát hiện ra lỗi cụ thể này, theo một nhà nghiên cứu “Transmission11” tại công ty đầu tư tiền điện tử Paradigm. Anh ấy đã tweet vào ngày 21 tháng 3, cho biết rằng lỗi trong mã của Li Finance rất dễ bị bỏ sót và rất khó nhận ra.

not a dunk on LiFi btw, i've implemented the same flaw in my own code in the past and have missed it when reviewing other's too.

it's subtle if you're not in the right mindset, which is why we need to get the word out
— t11s (@transmissions11) March 20, 2022

Vụ hack mới nhất trong không gian tài chính phi tập trung (DeFi), một lần nữa cho thấy rằng việc đưa ra phê duyệt vô hạn đối với các hợp đồng thông minh sẽ khiến tài sản của người dùng gặp rủi ro lớn như thế nào. Phê duyệt vô hạn cho phép người dùng hoán đổi tiền xu tại một sàn giao dịch phi tập trung (DEX) không giới hạn số lần, mà không cần phê duyệt thêm bất kỳ giao dịch nào.

Đọc thêm:>>> Ấn Độ sẽ thu thuế GST 28% đối với các giao dịch tiền điện tử.

Source: Brian Nerwar – Cointelegraph.