Giao thức tổng hợp thanh khoản xuyên chuỗi Li Finance là nạn nhân mới nhất của vụ khai thác hợp đồng thông minh, dẫn đến thất thoát 600.000 USD từ ví của 29 người dùng.
Li Finance (LiFi) bị tấn công
Vụ khai thác diễn ra lúc 09:51 sáng ngày 20 tháng 3 năm 2022 theo giờ Việt Nam. Kẻ tấn công có thể trích xuất số lượng của 10 token khác nhau từ các ví cho phép “chấp thuận vô hạn” đối với giao thức Li Finance.
Trong số các token bị đánh cắp có USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO), Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), AAVE (AAVE), Jarvis Reward Token (JRT), và DAI (DAI).
• 25/29 wallets have been reimbursed immediately — the rest we want to offer something special (alternatively normal reimbursement) and reached out via Twitter & transactions
• We contacted the hacker pic.twitter.com/mKFdQkGBUR— LI.FI – Any-2-Any Swaps (🦎,🦎) (@lifiprotocol) March 21, 2022
“600.000 USD bị đánh cắp từ 29 địa chỉ ví. Người dùng không cần thực hiện thao tác gì thêm. Lỗ hổng trên đã được fix và phiên bản vá lỗi đã được phát triển”.
Khi sự việc tới tai nhóm nghiên cứu (khoảng 21:15 ngày 20 tháng 3 năm 2022), họ đã đóng tất cả các chức năng swap trên nền tảng để ngăn chặn bất kỳ tổn thất nào tiếp theo. Sau đó, đến 09:50 sáng hôm nay, nhóm nghiên cứu đã điều tra chi tiết các sự kiện liên quan. Họ phát hiện kẻ tấn công đã trao đổi các token bị đánh cắp với 205 Ether (ETH), tổng trị giá khoảng 600.000 USD. Tại thời điểm viết bài, số ETH bị đánh cắp vẫn chưa được chuyển khỏi ví của kẻ tấn công. LiFi cũng đảm bảo với người dùng rằng lỗi đã được xác định và vá hoàn tất.
Since the contract was designed to make multiple swaps in a single transaction, the attacker sent a single huge transaction with a wall of transferFrom’s for the contract to send, each moving money from a user that had approved the contract, to the attacker: pic.twitter.com/KHl6McD8x8
— Daniel Von Fange (@danielvf) March 20, 2022
Trong số 29 ví bị tấn công, 25 ví đã được bồi hoàn bởi quỹ kho bạc. 25 ví đó chỉ chiếm 80.000 USD, tương đương 13% tổng giá trị bị mất. Chủ sở hữu của bốn ví còn lại, bị mất tổng cộng 517.000 USD, đã được liên hệ và đề nghị thỏa thuận đền bù bằng tư cách nhà đầu tư thiên thần trong giao thức. Cụ thể, họ sẽ nhận được token LiFi theo các điều khoản tương tự như các nhà đầu tư thiên thần khác với số tiền tương đương với khoản lỗ của mình. Điều này giúp giảm thiểu thiệt hại cho kho quỹ của nền tảng.
Hacker cũng đã được liên hệ và đưa ra một khoản tiền thưởng để yêu cầu trả lại tiền.
Cuộc tấn công xuất hiện vào một thời điểm bất lợi. Giám đốc điều hành của Li Finance, Philipp Zentner, chia sẻ rằng: “Thực sự chỉ còn một tuần nữa là đến cuộc kiểm toán của chúng tôi… Hiện đang có nhiều công ty muốn kiểm tra chúng tôi”.
Tuy nhiên, ngay cả khi kiểm tra kỹ lưỡng, một số lỗi gặp phải trong bộ mã cũng có thể không được phát hiện cụ thể, theo thông tin từ nhà nghiên cứu “Transmission11” tại công ty đầu tư tiền điện tử Paradigm. Anh ấy giải thích rằng lỗi trong bộ mã của Li Finance rất dễ bị bỏ sót và rất khó tìm nếu bạn không có suy nghĩ đúng đắn từ đầu.
Tham gia Telegram của Tạp Chí Bitcoin để theo dõi tin tức và bình luận về bài viết này: https://t.me/tapchibitcoinvn
- BlockFi xác nhận đã bị xâm phạm dữ liệu khách hàng thông qua Hubspot
- Quả đắng “sàn ngoại hối quốc tế”: Nhà đầu tư mất hàng tỷ đồng chỉ trong 1 tháng
Xoài
Theo AZCoin News
