LiFi(Li Finance) 프로토콜은 해커의 희생양이 되는 최신 탈중앙화 금융(DeFi) 플랫폼입니다. LI.FI의 프리 브리지 스왑 스마트 계약의 허점을 악의적 행위자가 악용하여 다양한 금액의 USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT 및 DAI(총 $600)를 훔칠 수 있었습니다. 29년 21월 2022일 블로그 게시물에 따르면 지갑은 XNUMX개입니다.
LI.FI 프로토콜, 600만 달러의 강탈 피해
탈중앙화 거래소(DEX) 연결, 크로스체인 데이터 메시징 기능 등을 갖춘 브리지 통합 프로토콜인 LI.Fi가 큰 공격을 받아 해커에게 600,000만 달러 상당의 디지털 자산을 선물했습니다.
LI.FI 팀의 블로그 게시물에 따르면 공격자는 정확히 오전 2시 51분(UTC)에 LI FI 스마트 계약의 스와핑 기능에 있는 취약점을 악용했습니다. 팀은 해커가 프리 브리지 스왑 기능에 대한 완전한 제어권을 얻었으며 사용자가 이전에 무한한 승인을 준 토큰 계약을 기반으로 사용자 지갑에 있는 토큰을 자신의 지갑으로 전송하는 스마트 계약 호출을 할 수 있었다고 말했습니다.
LI.FI는 다음과 같이 썼습니다.
“20년 2022월 XNUMX일 공격자는 LI.FI의 스마트 계약, 특히 브리징 전에 스왑을 수행할 수 있는 스와핑 기능을 악용했습니다. 실제로 교환하는 대신 우리 계약의 맥락에서 직접 토큰 계약을 호출할 수 있었습니다. 악용으로 인해 우리 계약을 무한정 승인한 사람은 누구나 취약해졌습니다.”
팀은 단 한 번의 거래로 공격자가 다양한 양의 USD 코인(USDC), 폴리곤(MATIC), 로켓 풀(RPL), 노시스(GNO) 테더(USDT), 메타버스 인덱스(MVI), 오디우스(Audius)를 훔칠 수 있었다고 밝혔습니다. (AUDIO), Aave(AAVE), Jarvis Network(JRT) 및 Dai(DAI)입니다.
공격이 성공한 후 공격자는 토큰을 이더(ETH)로 교환했지만, 이 글을 쓰는 시점에서는 아직 훔친 자금을 세탁하지 않았습니다. LI.FI는 해커에게 연락했으며 답변을 기다리고 있습니다.
“LI.FI 착취자님, 우리 계약의 취약점을 지적해 주셔서 감사합니다. 우리는 복귀 사용자 자금과 잠재적 포상금에 대해 논의하고 싶습니다: [이메일 보호]”라고 팀이 썼습니다.
LI.FI는 사용자에게 보상합니다
중요한 것은, Li Finance는 강도 사건의 영향을 받은 29개 지갑 중 25개(86%)에 대해 총 80만 달러를 상환했으며 나머지 517개 지갑(명목 크기 ~ XNUMX달러)의 소유자와 대화 중이라고 밝혔습니다. k) 손실된 자금을 프로젝트에 대한 엔젤 투자로 전환하여 LI FI 재무에 대한 피해를 줄입니다.
LI FI 팀은 이제 스마트 계약의 취약점을 찾아 수정했으며, 활성화되기 전에 플랫폼을 철저히 감사하는 데 시간을 투자하지 않은 것을 후회한다고 말했습니다.
“감사를 더 일찍 마치지 않음으로써 우리는 가능한 최고의 보안을 제공해야 하는 의무를 소홀히 했습니다. 우리의 임무는 UX를 극대화하는 것입니다. 이제 우리는 이러한 정신을 따르기 위해 우리의 보안 조치가 대폭 개선되어야 한다는 것을 고통스럽게 배웠습니다.”라고 LI.FI는 선언했습니다.
관련 뉴스에서는 15년 2022월 XNUMX일자, 보고서 DeFi 프로토콜인 Deus Finance가 플래시 대출 공격을 받아 해커들이 3만 달러 이상의 암호화폐를 훔칠 수 있었다는 사실이 밝혀졌습니다. 그리고 18월 XNUMX일, 크립토뉴스 Agave와 Hundred Finance는 재진입 버그 공격을 통해 해커에게 11만 달러의 손실을 입혔다고 보고했습니다.
출처: https://crypto.news/li-finance-defi-protocol-600k-reimburse/