El protocolo Li Finance (LiFi) es la última plataforma de finanzas descentralizadas (DeFi) en ser víctima de piratas informáticos. El actor deshonesto aprovechó una laguna en el contrato inteligente de intercambio previo al puente de LI.FI, lo que le permitió robar cantidades variables de USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT y DAI por un total de $ 600k de 29 billeteras, según una publicación de blog del 21 de marzo de 2022.
El protocolo LI.FI sufre un atraco de $600k
LI.Fi, un protocolo de agregación de puentes con conectividad de intercambio descentralizado (DEX), capacidades de mensajería de datos entre cadenas y más, ha sufrido un gran ataque, regalando $ 600,000 en activos digitales al hacker.
Según una publicación de blog del equipo de LI.FI, un atacante explotó una vulnerabilidad en la función de intercambio del contrato inteligente de LI FI exactamente a las 2:51 a. m. + UTC. El equipo dice que el pirata informático logró obtener el control total sobre su función de intercambio previo al puente y pudo realizar llamadas de contrato inteligente que transfirieron los tokens en las billeteras de los usuarios a la suya, según los contratos de token que los usuarios habían otorgado previamente aprobaciones infinitas.
LI.FI escribió:
“El 20 de marzo de 2022, un atacante explotó el contrato inteligente de LI.FI, específicamente nuestra función de intercambio que nos permite realizar intercambios antes del puente. En lugar de intercambiar realmente, pudieron llamar contratos de token directamente en el contexto de nuestro contrato. Como resultado del exploit, cualquiera que diera su aprobación infinita a nuestro contrato era vulnerable”.
En solo una transacción, el equipo dice que el atacante pudo robar cantidades variables de USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO) Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), Aave (AAVE), Jarvis Network (JRT) y Dai (DAI).
Después de la explotación exitosa, el atacante intercambió los tokens en ether (ETH), pero aún debe lavar los fondos robados al momento de escribir este artículo. LI.FI se ha puesto en contacto con el hacker y está esperando una respuesta.
“Explotador LI.FI, le agradecemos que haya señalado la vulnerabilidad en nuestros contratos. Nos gustaría hablar sobre la devolución de los fondos de los usuarios y una posible recompensa: [email protected]”, escribió el equipo.
LI.FI reembolsa a los usuarios
Es importante destacar que, de las 29 billeteras afectadas por el atraco, Li Finance dice que ha reembolsado 25 de ellas (86 por ciento), por un monto total de $80, y está hablando con los propietarios de las cuatro billeteras restantes (tamaño teórico ~ $517 k) transformar los fondos perdidos en una inversión ángel en el proyecto, para reducir el daño a la tesorería de LI FI.
El equipo de LI FI dice que ahora ha localizado y reparado la vulnerabilidad en sus contratos inteligentes, y lamenta no haberse tomado el tiempo para auditar minuciosamente la plataforma antes de lanzarla.
“Al no terminar una auditoría antes, descuidamos nuestro deber de ofrecer la mayor seguridad posible. Nuestra misión es maximizar UX, y ahora hemos aprendido dolorosamente que nuestras medidas de seguridad deben mejorar drásticamente para seguir este espíritu”, declaró LI.FI.
En noticias relacionadas, el 15 de marzo de 2022, informes surgió que el protocolo DeFi Deus Finance había sufrido un ataque de préstamo relámpago que permitió a los piratas informáticos robar más de USD 3 millones en criptomonedas. Y el 18 de marzo, cripto.noticias informó que Agave y Hundred Finance perdieron $ 11 millones a manos de piratas informáticos a través de un error de reingreso.
Fuente: https://crypto.news/li-finance-defi-protocol-600k-reimburse/