LI.FI mất khoảng 9 triệu đô la trong vụ tấn công

Giao thức blockchain chuỗi chéo LI.FI đã bị khai thác, nhóm cho biết trên nền tảng mạng xã hội X. Nhóm đang điều tra vụ hack có thể xảy ra, dường như chỉ ảnh hưởng đến những người dùng tự thiết lập một số tính năng nhất định.

"Xin đừng tương tác với bất kỳ ứng dụng nào sử dụng LI.FI vào lúc này," nhóm LI.FI viết. "Chúng tôi đang điều tra một lỗ hổng tiềm ẩn. Nếu bạn không thiết lập phê duyệt vô hạn, bạn không gặp rủi ro."

“[C]húng tôi kêu gọi tất cả người dùng ngay lập tức sử dụng trang web thu hồi riêng biệt của chúng tôi,” LI.FI viết, thêm rằng “đã xác định được 4 vi phạm bảo mật khác.” 

Công ty bảo mật Decurity cho biết “nguyên nhân gốc rễ” dường như là “một cuộc gọi tùy ý với dữ liệu do người dùng kiểm soát” đến một hợp đồng gas được triển khai cách đây năm ngày để trả phí blockchain trên Ethereum ETH +1.23% .

“Hacker đã tạo ra calldata đặc biệt với các cuộc gọi transferFrom() và chuyển nó dưới dạng swapData đến depositToGasZipERC20 để đánh cắp các token đã được phê duyệt từ cầu nối,” các nhà nghiên cứu của Decurity viết trên X. 

Cuộc tấn công dường như là một phiên bản của lỗ hổng “call injection” cho phép kẻ tấn công sử dụng các tham số trong mã gốc để thực hiện các giao dịch hợp pháp nhưng không mong muốn. Loại lỗ hổng này được cho là đã gây ra thiệt hại hàng trăm triệu đô la tiền điện tử.

Một ví chứa các khoản tiền bị rút kiểm soát hơn 4 triệu USD ETH và gần 200.000 USD stablecoin DAI, theo dữ liệu DeFi World . Tuy nhiên, số tiền đó có thể bị đánh giá thấp, vì stablecoin USDT và USDC cũng dường như đang rời khỏi nền tảng. Công ty bảo mật Certik ước tính tổng thiệt hại khoảng 9 triệu USD.

Peckshield , một công ty bảo mật khác, cáo buộc một cuộc tấn công tương tự đã xảy ra với LI.FI vào năm 2022.