Người dùng giao thức Li Finance (LiFi) đã phải chịu thiệt hại lên tới khoảng 600.000 đô la, một số trong số họ đã được hoàn trả sau khi một hacker khai thác một lỗi trong hợp đồng thông minh của dự án.
Công ty tổng hợp giao dịch hoán đổi Li Finance đã gặp phải tình trạng khai thác hợp đồng thông minh dẫn đến việc mất khoảng 600.000 đô la từ ví của 29 người dùng.
Việc khai thác diễn ra vào lúc 2:51 sáng UTC vào ngày 20 tháng 3. Kẻ tấn công có thể trích xuất số lượng khác nhau của 10 mã thông báo khác nhau từ các ví đã cho phép “chấp thuận vô hạn” đối với giao thức Li Finance. Trong số các mã thông báo bị đánh cắp có USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO), Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), AAVE (AAVE), Jarvis Reward Token (JRT) và DAI (DAI).
Khi nhóm nghiên cứu biết về việc khai thác 12 giờ sau vào lúc 2:15 chiều giờ UTC, họ đã đóng tất cả các chức năng hoán đổi trên nền tảng để ngăn chặn bất kỳ tổn thất nào tiếp theo.
Đến 2:50 sáng UTC ngày 21 tháng 3, nhóm nghiên cứu đã kiểm tra chi tiết các sự kiện khai thác. Nhóm nghiên cứu cho biết rằng kẻ tấn công đã trao đổi các mã thông báo bị đánh cắp với tổng số khoảng 205 Ether (ETH) trị giá khoảng 600.000 đô la. Tại thời điểm viết bài, ETH bị đánh cắp vẫn chưa được chuyển khỏi ví của kẻ tấn công. LiFi cũng đảm bảo với người dùng rằng lỗi đã được xác định và vá.
Trong số 29 ví bị tấn công trong cuộc tấn công này, 25 ví đã được hoàn trả từ quỹ kho bạc cho những tổn thất của chúng. 25 chiếc ví đó chỉ chiếm 80.000 USD, tương đương 13% tổng giá trị bị mất. Chủ sở hữu của bốn ví còn lại bị mất tổng cộng 517.000 đô la đã được liên hệ và đề nghị một thỏa thuận để đền bù cho họ bằng cách tôn vinh các khoản lỗ của họ với tư cách là nhà đầu tư thiên thần trong giao thức.
Họ sẽ nhận được mã thông báo LiFi theo các điều khoản tương tự như các nhà đầu tư thiên thần khác với số tiền tương đương với khoản lỗ của họ từ mỗi ví. Điều này cũng sẽ giúp giảm thiểu thiệt hại cho kho quỹ của nền tảng.
Tin tặc cũng đã được liên hệ và đưa ra một khoản tiền thưởng lỗi để trả lại tiền.
Cuộc tấn công dường như đã đến vào một thời điểm không may. Giám đốc điều hành của Li Finance, Philipp Zentner, nói với Cointelegraph vào ngày 21 tháng 3 rằng “Chúng tôi thực sự còn một tuần nữa là đến cuộc kiểm toán của chúng tôi”, nói thêm rằng “chúng tôi có nhiều công ty đang kiểm tra chúng tôi”.
Tuy nhiên, ngay cả khi kiểm tra kỹ lưỡng mã cũng có thể không phát hiện ra lỗi cụ thể này, theo một nhà nghiên cứu “Transmission11” tại công ty đầu tư tiền điện tử Paradigm. Anh ấy giải thích trong một tweet ngày 21 tháng 3 rằng lỗi trong mã của Li Finance rất dễ bị bỏ sót và “rất khó nếu bạn không có suy nghĩ đúng đắn”.
Vụ hack mới nhất này trong lĩnh vực tài chính phi tập trung (DeFi) cho thấy việc đưa ra phê duyệt vô hạn đối với các hợp đồng thông minh sẽ khiến tiền của người dùng gặp rủi ro lớn hơn như thế nào. Phê duyệt vô hạn cho phép người dùng hoán đổi tiền xu tại một sàn giao dịch phi tập trung (DEX) không giới hạn số lần mà không cần phê duyệt thêm bất kỳ giao dịch nào.
Theo: cointelegraph
Khuyến cáo: Thông tin trên bài viết này chỉ mang tính tham khảo, không có bất kỳ lời khuyên nào về mua bán, đầu tư. Bạn hãy tự nghiên cứu trước khi thực hiện bất kỳ hình thức đầu tư nào.
