از دست رفتن 600000 دلار در پروتکل Li Finance  در آخرین اکسپلویت DeFi

از دست رفتن 600000 دلار در پروتکل Li Finance  در آخرین اکسپلویت DeFi
  • 07:10 1402-10-09
  • زمان مطالعه:2 دقیقه

کاربران پروتکل Li Finance(LiFi) در آخرین اکسپلویت دیفای در یک قرارداد هوشمند حدود 600000 دلار در 29 کیف پول از دست داده است. که برخی از آنها پس از سوء استفاده یک هکر از یک باگ در قرارداد هوشمند پروژه بازپرداخت شده است.
این سوء استفاده در بامداد 20 مارس انجام شد و هکر توانست مقادیر متفاوتی از 10 توکن مختلف را از کیف پول هایی که اجازه تأیید بی نهایت را به پروتکل Li Finance داده بودند استخراج کند. در میان توکن های دزدیده شده یو اس دی کوینUSD Coin (USDC)،  پالیگانPolygon (MATIC)، راکت پول Rocket Pool (RPL)، گنوسیس Gnosis (GNO)، تترTether (USDT)، متاورس ایندکسMetaverse Index (MVI)،  اودیوس Audius (AUDIO)، آوی AAVE (AAVE)، و بسیاری دیگر مشاهده می شود.
هنگامی که تیم در 21 مارس از این اکسپلویت مطلع شد، تمام عملکردهای تعویض روی پلتفرم را خاموش کرد تا از ضررهای بیشتر جلوگیری شود. براساس اظهارات تیم، هکر توکن های دزدیده شده را با 205 اتریوم به ارزش تقریبی 600.000 دلار مبادله کرده است. مسئول مربوطه همچنین به کاربران اطمینان داد که این باگ شناسایی و اصلاح شده است.

دلیل اصلی هک و بازپرداخت خسارت کاربران

 براساس گفته کارشناسان هک امروز LiFi به دلیل همخوانی مستقیم سوواپ ایجاد شده است. در اصل تابع swap داخلی آن با هر پیام هکر به آدرس مورد نظر فراخوانی می شده است و این رفتار به هکر اجازه می ‌داد تا مبلغ قرارداد را از هر کسی که قرارداد را تأیید کرده بود، انتقال دهد.
از 29 کیف پولی که مورد هک قرار گرفت، خسارات25 کیف پول از صندوق های خزانه بازپرداخت شده است. این 25 کیف پول فقط 80.000 دلار یا 13 درصد از کل ارزش از دست رفته را به خود اختصاص داده اند. به صاحبان چهار کیف پول باقی ‌مانده که مجموعاً 517.000 دلار از دست داده ‌اند، پیشنهاد معامله برای جبران ضرر آنها به عنوان سرمایه ‌گذاران فرشته در پروتکل ارائه شده است.
آن ‌ها توکن ‌های LiFi را با همان شرایطی که سایر سرمایه‌گذاران فرشته دارند به مبلغی برابر با ضرر آنها از هر کیف پول دریافت می‌کنند. همچنین این اقدام به کاهش آسیب به خزانه پلت فرم کمک می کند. برای هکر نیز برای بازگرداندن وجوه، جایزه باگ پیشنهاد شده است.
به نظر می رسد این حمله در زمانی ناگوار رخ داده است. فیلیپ زنتنر، مدیر عامل لی فاینانس، در 21 مارس به کوین تلگراف گفت که شرکت تنها یک هفته با حسابرسی فاصله دارد. به گفته یکی از محققان «Transmissions11» در شرکت سرمایه‌گذاری ارز دیجیتال پارادایم ، حتی یک ممیزی کامل از کد ممکن است این اشکال خاص را شناسایی نکرده باشد.
آخرین هک در بخش مالی غیرمتمرکز (DeFi) نشان می‌ دهد که چگونه دادن تاییدیه ‌های بی ‌نهایت به قراردادهای هوشمند، سرمایه‌ های کاربر را در معرض خطر بیشتری قرار می دهد. تاییدیه ‌های بی‌ نهایت به کاربران اجازه می‌ دهند تا کوین ها را در یک صرافی غیرمتمرکز (DEX) بارها و بدون نیاز به تایید تراکنش ‌های دیگر، به ‌مدت نامحدود مبادله کنند.
 

تگ ها