Хакеры взломали DeFi-протоколы Li Finance и Umbrella Network
DEX-агрегатор Li Finance сообщил о хакерской атаке, в ходе которой похищено 205 ETH (~$591 630) из 29 кошельков, подключенных к сервису. Команда проекта закрыла эксплойт и возместила потери большей части пользователей.
TLDR:• ~$600K have been stolen from 29 wallets• User don’t have to do anything• Bug has been fixed and is already deployedhttps://t.co/fqOxJxDrZs— LI.FI - Any-2-Any Swaps (?,?) (@lifiprotocol) March 21, 2022
Согласно сообщению, 20 марта злоумышленник воспользовался уязвимостью в смарт-контракте Li Finance, позволяющей переводить активы из кошельков пользователей, которые подписали «бессрочное одобрение» для протокола.
Аналитик инвестиционной компании Paradigm под ником t11s подчеркнул, что даже тщательный аудит мог не выявить этот эксплойт. По его словам, ошибку в коде Li Finance легко пропустит, и она «незаметна, если вы в своем уме».
not a dunk on LiFi btw, i've implemented the same flaw in my own code in the past and have missed it when reviewing other's too. it's subtle if you're not in the right mindset, which is why we need to get the word out— t11s (@transmissions11) March 20, 2022
Когда команда проекта узнала об инциденте, она отключила все свопы на платформе. Однако хакер успел вывести около $600 000 в токенах, включая USD Coin (USDC), Polygon (MATIC), Tether (USDT) и другие.
Похищенные активы злоумышленник конвертировал в Ethereum. Криптовалюта до сих пор хранится на его адресе.
В Li Finance заявили, что возместили потери 25 кошельков на совокупную сумму $80 000. На оставшиеся четыре кошелька приходится около $517 000 украденных средств. Команда связалась с владельцами адресов и предложила им «особые» компенсации:
«Чтобы уменьшить ущерб нашей казне, мы предлагаем конвертировать потерянные
Читать на forklog.com


