يعد بروتوكول Li Finance (LiFi) أحدث منصة للتمويل اللامركزي (DeFi) تقع ضحية للمتسللين. تم استغلال ثغرة في العقد الذكي لمبادلة ما قبل الجسر الخاص بـ LI.FI من قبل الممثل المارق، مما مكنه من سرقة مبالغ متفاوتة من USDC وMATIC وRPL وGNO وUSDT وMVI وAUDIO وAAVE وJRT وDAI بإجمالي 600 ألف دولار من 29 محفظة، وفقًا لمنشور مدونة بتاريخ 21 مارس 2022.
بروتوكول LI.FI يتعرض لسرقة 600 ألف دولار
تعرض LI.Fi، وهو بروتوكول تجميع الجسور مع اتصال التبادل اللامركزي (DEX)، وقدرات إرسال البيانات عبر السلاسل، والمزيد، لهجوم كبير، حيث قدم ما قيمته 600,000 دولار من الأصول الرقمية إلى المتسلل.
وفقًا لمنشور مدونة بواسطة فريق LI.FI، استغل أحد المهاجمين ثغرة أمنية في ميزة المبادلة لعقد LI FI الذكي في تمام الساعة 2:51 صباحًا +التوقيت العالمي المنسق. يقول الفريق إن المتسلل تمكن من السيطرة الكاملة على ميزة مبادلة ما قبل الجسر الخاص به وكان قادرًا على إجراء مكالمات عقدية ذكية لنقل الرموز المميزة الموجودة في محافظ المستخدمين إلى محفظته، بناءً على عقود الرمز المميز التي منحها المستخدمون سابقًا موافقات غير محدودة.
كتب LI.FI:
"في 20 مارس 2022، استغل أحد المهاجمين العقد الذكي الخاص بـ LI.FI، وتحديدًا ميزة المبادلة الخاصة بنا والتي تتيح لنا إجراء عمليات المبادلة قبل التجسير. وبدلاً من المبادلة فعليًا، تمكنوا من استدعاء العقود الرمزية مباشرة في سياق عقدنا. ونتيجة لهذا الاستغلال، كان أي شخص أعطى موافقة غير محدودة على عقدنا عرضة للخطر".
في معاملة واحدة فقط، يقول الفريق إن المهاجم كان قادرًا على سرقة كميات متفاوتة من العملات بالدولار الأمريكي (USDC)، وPolygon (MATIC)، وRocket Pool (RPL)، وGnosis (GNO)، وTether (USDT)، وMetaverse Index (MVI)، وAudius. (AUDIO)، وAave (AAVE)، وشبكة Jarvis (JRT)، وDai (DAI).
بعد الاستغلال الناجح، قام المهاجم بتبديل الرموز المميزة إلى إيثريوم (ETH)، لكنه لم يقوم بعد بغسل الأموال المسروقة حتى وقت كتابة هذا التقرير. اتصلت LI.FI بالمتسلل وتنتظر الرد.
"مستغل LI.FI، نحن نقدر لك الإشارة إلى الثغرة الأمنية في عقودنا. نود مناقشة إعادة أموال المستخدمين والمكافأة المحتملة: [البريد الإلكتروني محمي]"، كتب الفريق.
تقوم LI.FI بتعويض المستخدمين
الأهم من ذلك، من بين 29 محفظة تأثرت بالسرقة، تقول Li Finance إنها قامت بسداد 25 منها (86 بالمائة)، بمبلغ إجمالي قدره 80 ألف دولار، وهي تتحدث مع أصحاب المحافظ الأربع المتبقية (الحجم الافتراضي ~ 517 دولارًا) ك) لتحويل الأموال المفقودة إلى استثمار ملائكي في المشروع، لتقليل الأضرار التي لحقت بخزينة LI FI.
يقول فريق LI FI إنه حدد الآن الثغرة الأمنية في عقوده الذكية وأصلحها، ويأسف لعدم أخذ الوقت الكافي لإجراء تدقيق شامل للمنصة قبل بدء التشغيل.
"من خلال عدم الانتهاء من عملية التدقيق مبكرًا، فقد أهملنا واجبنا المتمثل في تقديم أعلى مستوى ممكن من الأمان. مهمتنا هي زيادة تجربة المستخدم إلى الحد الأقصى، وقد تعلمنا الآن بشكل مؤلم أن إجراءاتنا الأمنية يجب أن تتحسن بشكل كبير لاتباع هذه الروح.
وفي أخبار متصلة بتاريخ 15 مارس 2022م. تقارير ظهر أن بروتوكول التمويل اللامركزي Deus Finance قد تعرض لهجوم قرض سريع مكن المتسللين من سرقة ما يزيد عن 3 ملايين دولار من العملات المشفرة. و في 18 مارس كريبتو ذكرت أن Agave وHundred Finance خسرتا 11 مليون دولار أمام المتسللين عبر استغلال خطأ إعادة الدخول.
المصدر: https://crypto.news/li-finance-defi-protocol-600k-reimburse/