تم احتواء التهديد وإصلاح الثغرة: LiFi
أفاد كلب مراقبة أمن البلوك تشين Cyvers Alerts أن بروتوكول LiFi API للسيولة عبر السلسلة تعرض “لاستغلال الموافقة” يوم الثلاثاء. “أكثر من 8 ملايين دولار” تم استنزافها في الهجوم. وقد تم تعقيم البروتوكول منذ ذلك الحين، حسبما أكد بروتوكول LiFi للمستخدمين يوم الأربعاء.
عندما غرد سيفرز لأول مرة عن الهجوم، قدّر كلب الحراسة استنزاف ما يقرب من 8 ملايين دولار. كشف تقرير الحوادث الأمنية لشركة LiFi، الذي نشرته اليوم، عن استنزاف 11.6 مليون دولار.
ذكر تقرير الحادث الأمني لشركة LiFi، “يقدر إجمالي المبلغ المسروق بحوالي 11.6 مليون دولار. وقع الهجوم على الإيثيريوم والأربيتروم، مما أثر على 153 محفظة. شملت الأصول التي تم استنزافها USDC و USDT و DAI. من المهم ملاحظة أن الثغرة اقتصرت على الموافقات اللانهائية ولم تؤثر على الموافقات المحدودة، وهو الإعداد الافتراضي في واجهة برمجة التطبيقات LI.FI، وحزمة تطوير البرمجيات SDK، والأداة.”
غرد بروتوكول LiFi يوم الأربعاء “لقد تم احتواء ثغرة في العقد الذكي في وقت سابق اليوم وتم تعطيل وجه العقد الذكي المتأثر. لا توجد حاليًا أي مخاطر أخرى على المستخدمين.”
“المحافظ الوحيدة المتأثرة، والتي تم ضبطها على موافقات لا نهائية، ولا تمثل سوى عدد قليل جدًا من المستخدمين.”
أوصى سايفرس مستخدمي بروتوكول LiFi بإلغاء الموافقة على
0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae
كما حذّرت شركة LiFi المستخدمين بعد فترة وجيزة من تحذير Cyves Alerts بإلغاء الموافقات على العناوين التالية
0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae
0x341e94069f53234fE6DabeF707aD424830525715
0xDE1E598b81620773454588B85D6b5D4eEC32573e
0x24ca98fB6972F5eE05f0dB00595c7f68D9FaFd68
وغرّد ديكيوريتي المتخصص في أمن المعلومات على تويتر “السبب الجذري هو إمكانية إجراء مكالمة عشوائية ببيانات يتحكم فيها المستخدم عبر ‘depositToGasZipERC20()’ في GasZipFacet الذي تم نشره منذ 5 أيام!”
يحذر المستخدمون من معرّفات X المزيفة التي تنتحل صفة بروتوكول LiFi. يوصى بشدة بتجنب التفاعل مع المُعرّفات المزيفة، وعلى وجه الخصوص، تجنب النقر على أي روابط من هذه المُعرّفات. يرجى ملاحظة أن معرّف LiFi X الأصلي (تويتر سابقًا) هو “@lifiprotocol”.
تُظهر الصورة التالية منتحل شخصية يرد على تغريدة ديكوريتي. في الصورة، لاحظ معرّف X (تويتر سابقًا) الخاص بمنتحل الشخصية؛ هذا المعرف لا يمثل بروتوكول LiFi. انظر أيضًا إلى الرابط بعناية، فهو يقول LIFIPIPROTOCOI (هناك حرف “i” في النهاية وليس “L”).
ليفي تشرح الهجوم في تقرير الحوادث الأمنية
فيما يتعلق بالهجوم الأخير، أشارت شركة LiFi في تقريرها عن الحادث الأمني: “حدث الاستغلال بعد فترة وجيزة من نشر وجه جديد للعقود الذكية. سمحت ثغرة في الترقية للمهاجم بالوصول غير المصرح به إلى محافظ المستخدمين في غضون دقائق من النشر.”
وأضافت: “تنبع الثغرة من حقيقة أن المتصلين بالعقد كانوا قادرين على إجراء مكالمات عشوائية إلى أي عقد دون التحقق من صحته. وقد تم توفير هذه الإمكانية من خلال مكتبة LibSwap، التي تسهل إجراء مكالمات إلى العديد من DEXs، ومجمّعي الرسوم، والكيانات الأخرى قبل ربط أو إرسال الأموال إلى المستخدم. في جميع الجوانب الأخرى من عقد LI.FI، تم التحقق من صحة هذه المكالمات مقابل قائمة بيضاء لعناوين ووظائف العقد المعتمدة. ومع ذلك، وبسبب خطأ بشري فردي في الإشراف على عملية النشر، في حالة الوجه الجديد، لم يتم التحقق من صحة هذا التحقق من الصحة.”
أبرزت بيكشيلد أن استغلال يوم الثلاثاء كان مشابهًا لهجوم يوم 20 مارس 2022. تم وصف هجوم 2022 وشرحه في مدونة LiFi. وفقًا للمدونة، استغل المهاجم خاصية المبادلة في عقد LiFi الذكي. تم استنزاف ما يقرب من 600 ألف دولار بسبب هذا الخلل.
يستخدم LiFi ميزة المبادلة قبل تحويل الأموال من خلال جسر. كان المستخدمون الذين قاموا بتعيين الموافقات إلى ما لا نهاية معرضين للخطر.
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.thecoinrepublic.com/ar/2024/07/19/%d8%b4%d8%b1%d9%83%d8%a9-lifi-%d8%aa%d9%8f%d8%b5%d8%af%d8%b1-%d8%aa%d9%82%d8%b1%d9%8a%d8%b1%d9%8b%d8%a7-%d8%b9%d9%86-%d8%ad%d8%a7%d8%af%d8%ab-%d8%a3%d9%85%d9%86%d9%8a-%d8%a8%d8%b9%d8%af-%d8%a7%d8%ae/&media=https://www.thecoinrepublic.com/wp-content/uploads/2024/07/LiFi-Issues-Post-Mortem-Report-After-11.6M-Approval-Exploit-1.webp&description=قامت شركة LiFi بإصلاح البروتوكول بعد اكتشاف الـ 11 مليون دولار يوم الثلاثاء.Cyvers Alerts نبهت شركة LiFi لأول مرة بشأن "استغلال الموافقة".){kind=link}