Protocol Li Finance (LiFi) yw'r platfform cyllid datganoledig diweddaraf (DeFi) i ddioddef gan hacwyr. Manteisiodd yr actor twyllodrus ar fwlch yng nghontract clyfar cyfnewid cyn-bont LI.FI, gan ei alluogi i ddwyn symiau amrywiol o USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT, a DAI gwerth cyfanswm o $600k o 29 waled, yn ôl post blog ar 21 Mawrth, 2022.
Protocol LI.FI Yn Dioddef $600k Heist
Mae LI.Fi, protocol cydgasglu pontydd gyda chysylltedd cyfnewid datganoledig (DEX), galluoedd negeseuon data traws-gadwyn, a mwy, wedi dioddef ymosodiad mawr, gan roi gwerth $600,000 o asedau digidol i'r haciwr.
Yn ôl post blog gan dîm LI.FI, fe wnaeth ymosodwr fanteisio ar fregusrwydd yn nodwedd cyfnewid contract smart LI FI ar union 2:51 AM +UTC. Dywed y tîm fod yr haciwr wedi llwyddo i ennill rheolaeth lwyr dros ei nodwedd cyfnewid cyn-bont a'i fod yn gallu gwneud galwadau contract smart a drosglwyddodd y tocynnau mewn waledi defnyddwyr iddo, yn seiliedig ar ba gontractau tocyn yr oedd defnyddwyr wedi rhoi cymeradwyaeth ddiddiwedd yn flaenorol.
Ysgrifennodd LI.FI:
“Ar Fawrth 20, 2022, fe wnaeth ymosodwr ecsbloetio contract craff LI.FI, yn benodol ein nodwedd cyfnewid sy’n ein galluogi i berfformio cyfnewidiadau cyn pontio. Yn lle cyfnewid mewn gwirionedd, roeddent yn gallu galw contractau tocyn yn uniongyrchol yng nghyd-destun ein contract. O ganlyniad i’r camfanteisio, roedd unrhyw un a roddodd gymeradwyaeth ddiddiwedd i’n contract yn agored i niwed,”
Mewn un trafodiad yn unig, dywed y tîm fod yr ymosodwr yn gallu dwyn symiau amrywiol o USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO) Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), Aave (AAVE), Jarvis Network (JRT), a Dai (DAI).
Ar ôl y camfanteisio llwyddiannus, cyfnewidiodd yr ymosodwr y tocynnau i ether (ETH), ond nid yw eto wedi golchi'r arian a ddwynwyd ar adeg ysgrifennu'r adroddiad hwn. Mae LI.FI wedi cysylltu â'r haciwr ac yn aros am ymateb.
“Ecsploetiwr LI.FI, rydym yn gwerthfawrogi eich bod yn tynnu sylw at y bregusrwydd yn ein contractau. Hoffem drafod cronfeydd defnyddwyr sy'n dychwelyd a bounty posibl: [e-bost wedi'i warchod],” ysgrifennodd y tîm.
Mae LI.FI yn Ad-dalu Defnyddwyr
Yn bwysig, allan o'r 29 waled yr effeithiwyd arnynt gan yr heist, dywed Li Finance ei fod wedi ad-dalu 25 ohonynt (86 y cant), yn y cyfanswm o $ 80k, ac mae'n siarad â pherchnogion y pedwar waled sy'n weddill (maint tybiannol ~ $ 517 k) trawsnewid yr arian a gollwyd yn fuddsoddiad angel yn y prosiect, i leihau'r difrod i drysorlys LI FI.
Dywed tîm LI FI ei fod bellach wedi lleoli a gosod y bregusrwydd yn ei gontractau smart, ac mae'n gresynu nad yw'n cymryd yr amser i archwilio'r platfform yn drylwyr cyn mynd yn fyw.
“Trwy beidio â gorffen archwiliad ynghynt, fe wnaethom esgeuluso ein dyletswydd i gynnig y diogelwch uchaf posib. Ein cenhadaeth yw gwneud y mwyaf o UX, ac yn awr rydym wedi dysgu'n boenus bod yn rhaid i'n mesurau diogelwch wella'n sylweddol i ddilyn yr ethos hwn, ”meddai LI.FI.
Mewn newyddion cysylltiedig, ar 15 Mawrth, 2022, adroddiadau daeth i'r amlwg bod protocol DeFi Deus Finance wedi dioddef ymosodiad fflach ar fenthyciad a alluogodd yr hacwyr i ddwyn dros $3 miliwn mewn crypto. Ac ar Fawrth 18, crypto.newyddion adrodd bod Agave a Hundred Finance wedi colli $11 miliwn i hacwyr trwy ecsbloetio bygiau dychwelyd.
Ffynhonnell: https://crypto.news/li-finance-defi-protocol-600k-reimburse/