LI.FI bị exploit làm mất gần 10 triệu đô la

Giao thức tương tác Li.fi đã cảnh báo người dùng không tương tác với bất kỳ ứng dụng nào sử dụng cơ sở hạ tầng của họ vì giao thức đang điều tra một lỗ hổng tiềm ẩn. Chỉ những người dùng đã thiết lập thủ công các phê duyệt vô hạn mới bị ảnh hưởng.

“Vui lòng không tương tác với bất kỳ ứng dụng hỗ trợ LI.FI nào vào lúc này! Chúng tôi đang điều tra một vụ exploit tiềm năng. Nếu bạn không đặt mức phê duyệt vô hạn, bạn sẽ không gặp rủi ro. Chỉ những người dùng đã đặt mức phê duyệt vô hạn theo cách thủ công mới bị ảnh hưởng. Thu hồi tất cả các phê duyệt đối với:

0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae 0x341e94069f53234fE6DabeF707aD424830525715 0xDE1E598b81620773454588B85D6b5D4eEC3 2573e 0x24ca98fB6972F5eE05f0dB00595c7f68D9FaFd68″.

Please do not interact with any https://t.co/nlZEnqOyQz powered applications for now!

We’re investigating a potential exploit. If you did not set infinite approval, you are not at risk.

Only users that have manually set infinite approvals seem to be affected.

Revoke all…

— LI.FI (@lifiprotocol) July 16, 2024

Báo cáo đầu tiên về một vụ exploit tiềm năng được đưa ra bởi người dùng X Sudo, người đã nhấn mạnh rằng gần 10 triệu đô la đã bị rút khỏi giao thức. Một người dùng X khác là Wazz chỉ ra rằng ví Web3 Rabby đã triển khai Li.fi làm cầu nối tích hợp, cảnh báo người dùng kiểm tra quyền của họ và thu hồi chúng. Đáng chú ý, Jumper Exchange cũng là một ứng dụng nổi tiếng sử dụng các dịch vụ Li.fi.

Hơn nữa, sau khi công ty bảo mật blockchain CertiK chia sẻ trên X về lỗ hổng đang diễn ra, người dùng Nick L. Franklin tuyên bố rằng đây có khả năng là một cuộc tấn công “call injection”. Đây là là một kỹ thuật tấn công trong lĩnh vực an ninh mạng, nơi kẻ tấn công chèn các lệnh hay các cuộc gọi (call) vào ứng dụng hoặc hệ thống để thực hiện các hành động không được phép. Đây thường là một dạng của tấn công injection, tương tự như SQL injection hoặc XSS (Cross-Site Scripting), nhưng thay vì chèn code vào dữ liệu hay web form, nó chèn các lệnh vào các cuộc gọi hoặc các dịch vụ giao tiếp giữa các thành phần của hệ thống.

Oh, call injection! Long time no seen. “swap” function didn’t check call target and call data. Because of this, users who approved to 0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae lost their tokens, revoke approval asap! Also, Lifi router set this implementation recently. Implement https://t.co/qRZpW0ruhT pic.twitter.com/bgT4eAQUUH

— Nick L. Franklin (@0xNickLFranklin) July 16, 2024

Theo công ty bảo mật blockchain PeckShield, vụ tấn công tương tự đã được sử dụng chống lại Li.fi vào tháng 3 năm 2022. 

Tham gia Telegram của Tạp Chí Bitcoin: https://t.me/tapchibitcoinvn

Theo dõi Twitter (X): https://twitter.com/tapchibtc_io

Theo dõi Tiktok: https://www.tiktok.com/@tapchibitcoin 

• Kraken tiết lộ thiệt hại gần 3 triệu đô la do exploit và lỗi hiện đã được sửa 
• UwU Lend bị exploit 20 triệu USD và vụ tấn công vẫn đang tiếp diễn

Itadori

Theo Cryptobriefing