تجمیع کننده پروتکل Li Finance یک اکسپولیت قرارداد هوشمند را تجربه کرده است که منجر به از دست دادن حدود 600000 دلار از کیف پول 29 کاربر شده است.
| ضرر مالی 600 هزار دلاری پروتکل Li Finance |
این سوء استفاده در ساعت 2:51 بامداد UTC در 20ام مارس صورت گرفت. این هکر توانست مقادیر متفاوتی از 10 توکن مختلف را از کیف پول هایی که ” infinite approval” را به پروتکل Li Finance داده بودند استخراج کند. ارز های دیجیتال دزدیده شده عبارتند از یو اس دی کوین (USDC)، پلیگان (MATIC)، راکت پول (RPL)، Gnosis (GNO)، تتر (USDT)، متاورس Index (MVI)، اودیوس (AUDIO)، آوی (AAVE)، توکن جارویس ریوارد (JRT) و دای (DAI).
TLDR:
• ~$600K have been stolen from 29 wallets
• User don’t have to do anything
• Bug has been fixed and is already deployedhttps://t.co/fqOxJxDrZs— LI.FI (@lifiprotocol) March 21, 2022
وقتی که تیم ۱۲ ساعت بعد در ساعت ۲:۱۵ بعد از ظهر UTC از این اکسپلویت مطلع شد، تمام عملکردهای سوآپ روی پلتفرم را خاموش کرد تا از ضررهای بیشتر جلوگیری شود.
تا ساعت 2:50 بامداد UTC در 21 مارس، تیم یک بیانیه که جزئیات وقایع این اکسپلویت را شرح میداد، صادر کرده بود. تیم گفت که هکر توکن های دزدیده شده را به 205 اتر (ETH) به ارزش تقریبی 600000 دلار تبدیل کرد. در زمان نگارش این مقاله، ETH سرقت شده هنوز از کیف پول این هکر منتقل نشده بود. پروتکل Li Finance همچنین به کاربران اطمینان داد که این باگ شناسایی و اصلاح شده است.
Today’s LiFi hack happed because its internal swap() function would call out to any address using whatever message the attacker passed in. This allowed the attacker to have the contract transferFrom() out the funds from anyone who had approved the contract. pic.twitter.com/NA3xW7ReUd
— Daniel Von Fange (@danielvf) March 20, 2022
از 29 کیف پولی که در این حمله مورد سرقت قرار گرفت، خسارت 25 کیف پول از صندوق های خزانه بازگردانده شد. این 25 کیف پول فقط 80000 دلار یا 13 درصد از کل ارزش از دست رفته را داتشند. با صاحبان چهار کیف پول باقیمانده که مجموعاً 517000 دلار از دست دادهاند، تماس گرفته شده و برای جبران ضرر آنها پیشنهاد معامله به عنوان سرمایهگذاران فرشته(angel) در پروتکل داده شده است. آنها توکنهای LiFi را با همان شرایطی که سایر سرمایهگذاران فرشته دارند به مبلغی برابر با ضرر آنها از هر کیف پول دریافت میکنند. این کار به کاهش آسیب به خزانه پلت فرم نیز کمک می کند.
با هکر نیز تماس گرفته شد و برای بازگرداندن وجوه، باگ بانتی( جایزهای بهخاطر پیداکردن باگ) پیشنهاد شد.
به نظر می رسد این حمله در زمانی بدی رخ داده است. فیلیپ زنتنر(Philipp Zentner) ، مدیر عامل Li Finance، در 21 مارس به کوین تلگراف گفت که “ما بیک هفته با حسابرسی خود فاصله داریم” و افزود که ” چندین شرکت داریم که ما را حسابرسی می کنند.”
با این حال، به گفته یکی از محققان «Transmissions11» در شرکت سرمایهگذاری ارز دیجیتال Paradigm، حتی یک ممیزی از کد ممکن نیست چنین باگی را ایجاده کرده باشد.
آخرین هک در بخش مالی غیرمتمرکز (DeFi) نشان میدهد که چگونه دادن تاییدیههای نامحدود به قراردادهای هوشمند، سرمایههای کاربران را در معرض خطر بیشتری قرار میدهد. تاییدیههای نامحدود به کاربران اجازه میدهند تا کوینها را در یک صرافی غیرمتمرکز (DEX) بارها و بارها و بدون نیاز به تایید تراکنشهای دیگر، بهمدت نامحدود مبادله کنند.
منبع: Cointelegraph
پاسخ