LI.FI DeFi-Plattform ausgenutzt, über 8 Millionen US-Dollar durch Angriff verloren

Als erfahrener Krypto-Investor mit mehrjähriger Erfahrung kann ich nicht umhin, einen Anflug von Enttäuschung und Frustration zu verspüren, als ich von der neuesten Schwachstelle im LI.FI-Protokoll höre. Angesichts der Tatsache, dass über 8 Millionen US-Dollar an Benutzergeldern durch eine ähnliche Sicherheitslücke gestohlen wurden, die bereits im März 2022 entdeckt und angeblich behoben wurde, ist es entmutigend, dass sich die Geschichte wiederholt.

Vermögenswerte im Wert von über 8 Millionen US-Dollar wurden illegal vom LI.FI-Protokoll der dezentralen Finanzplattform (DeFi) entwendet.

Beim kettenübergreifenden Transaktionsaggregator LI.FI wurden von Cyvers Alerts einige fragwürdige Transaktionen identifiziert.

LI.FI gibt Warnung nach 8-Millionen-Dollar-Exploit heraus

„Am 16. Juli erkannte LI.FI eine vermutete Schwachstelle in ihrem System über , was bedeutet, dass Benutzer, die diese Maßnahme nicht ergriffen haben, nicht gefährdet sind.“

Bitte interagieren Sie vorerst nicht mit unterstützten Anwendungen!

Wir untersuchen einen möglichen Exploit. Wenn Sie keine unbegrenzte Genehmigung festgelegt haben, besteht für Sie kein Risiko.

Nur Benutzer, die manuell unbegrenzte Genehmigungen festgelegt haben, scheinen betroffen zu sein.

Alle widerrufen…

– LI.FI (@lifiprotocol) 16. Juli 2024

Dem Bericht von Cybers Alerts zufolge wurden Benutzergelder in Höhe von über 8 Millionen US-Dollar gestohlen, wobei es sich bei einem erheblichen Teil um Stablecoins handelte. Laut On-Chain-Informationen enthält die Brieftasche des Diebes etwa 1.715 Ether (ETH) im Wert von etwa 5,8 Millionen US-Dollar sowie USDC-, USDT- und DAI-Stablecoins.

ALERT@lifiprotocol, unser System hat verdächtige Transaktionen im Zusammenhang mit Ihrem

gemeldet

Wir empfehlen Benutzern, ihre Genehmigungen für Folgendes zu widerrufen: 0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae

Mehr als 8 Millionen US-Dollar wurden bisher von den Nutzern abgezogen, hauptsächlich von Stablecoins!…

– Cyvers Alerts (@CyversAlerts), 16. Juli 2024

Als verantwortungsvoller Krypto-Investor würde ich die Warnung von Cyvers Alerts beherzigen und alle Genehmigungen im Zusammenhang mit dem laufenden Angriff umgehend widerrufen. Der böswillige Akteur tauscht derzeit USDC und USDT gegen ETH, daher könnte diese Maßnahme meine Gefährdung durch die Situation möglicherweise einschränken.

Decurity, ein auf Kryptosicherheit spezialisiertes Unternehmen, beleuchtete den jüngsten Exploit-Vorfall. Sie enthüllten, dass es sich um die LI.FI-Brücke handelte und führten als Ursache eine potenzielle Schwachstelle in der „depositToGasZipERC20“-Funktion des GasZipFacet an, die erst fünf Tage alt war.

Einfacher ausgedrückt drehen sich die potenziellen Gefahren im Zusammenhang mit Routern und Cross-Chain-Swaps hauptsächlich um die Token-Genehmigung. Nicht verpackte Token, wie etwa natives Ethereum (ETH), bieten keine Genehmigungsoptionen, wodurch sie weniger anfällig für Hackerangriffe sind. Die Praxis der unbegrenzten Genehmigungen, die Smart Contracts früher die vollständige Kontrolle über das Entfernen beliebiger Mengen an Token gab, wird mittlerweile von Benutzern und Wallets weitgehend aufgegeben. Daher ist es wichtig, dass Sie sich darüber im Klaren sind, welche spezifischen Token Sie für die Interaktion mit bestimmten Verträgen genehmigen.

Basierend auf meiner umfangreichen Erfahrung im Kryptobereich und der Arbeit mit verschiedenen Wallets und Transaktionsüberwachungstools kann ich Ihnen sagen, dass dieses Dashboard darauf ausgelegt ist, Transaktionen zu identifizieren, an denen eine bestimmte Entität oder ein bestimmtes Protokoll namens Lifi für alle Benutzer beteiligt ist. Nicht jede dieser Transaktionen stellt ein Risiko dar, aber es ist wichtig zu erkennen, dass Integrationen und Technologieebenen, wie z. B. die Art und Weise, wie Metamask-Brücken LiFi auf der Binance Smart Chain (BSC) nutzen, die Art und Weise, wie Benutzer ihre Vermögenswerte verwalten und möglicherweise anlegen, komplexer machen können sie in Gefahr.

Eine weitere empfohlene Sicherheitsmaßnahme, die von Carlos Mercado, Datenwissenschaftler bei Flipside Crypto, vorgeschlagen wird, besteht darin, regelmäßig neue Kryptowährungsadressen ohne vorherige Genehmigung zu erstellen. Durch die Übertragung Ihrer Token an eine neu generierte Adresse implementieren Sie eine zusätzliche Sicherheitsebene in Ihrer digitalen Geldbörse.

Jüngster Exploit Mirrors-Angriff vom März 2022

Die eingehendere Untersuchung durch PeckShield ergab, dass die identifizierte Schwachstelle Ähnlichkeit mit einem früheren Angriff auf das Protokoll von LI.FI aufweist, der am 20. März 2022 stattfand. Bei diesem früheren Vorfall nutzte ein böswilliger Akteur erfolgreich den Smart Contract von LI.FI aus und konzentrierte sich dabei auf dessen Austauschfunktionalität , bevor die gestohlenen Vermögenswerte durch Bridging auf eine andere Blockchain übertragen werden.

Ein Angreifer hat einen Weg gefunden, das System dazu zu verleiten, Token-Verträge direkt über seinen eigenen Vertrag auszuführen, wodurch Benutzer mit unbegrenzter Genehmigung potenziellem Schaden ausgesetzt werden. Diese Täuschung führte zum Diebstahl von rund 205 Ether aus 29 Wallets, was sich auf verschiedene Token auswirkte, darunter USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT und DAI.

Als erfahrener Krypto-Investor kann ich nicht anders, als über die Ähnlichkeiten zwischen der aktuellen Situation und vergangenen Vorfällen nachzudenken. Der jüngsten Warnung von PeckShield zufolge kommt der von ihnen identifizierte Fehler auffallend bekannt vor. Haben wir also wirklich aus unseren vergangenen Erfahrungen gelernt?

Nach dem Vorfall im Jahr 2022 hat LI.FI alle Swap-Funktionen in seinem Smart Contract vorübergehend gestoppt, um an Verbesserungen zu arbeiten und zukünftige Schwachstellen zu verhindern. Das Auftauchen eines weiteren ähnlichen Exploits lässt jedoch Zweifel an den Sicherheitsprotokollen der Plattform aufkommen und stellt die Frage, ob ausreichende Maßnahmen ergriffen wurden, um die beim vorherigen Hack aufgedeckten Schwachstellen zu beheben.

LI.FI fungiert als einheitliche Plattform, die es Benutzern ermöglicht, Geschäfte auf mehreren Blockchain-Netzwerken, Marktplätzen und Interoperabilitätslösungen auszuführen.

Weiterlesen

2024-07-16 18:53