Bedrohung eingedämmt, Sicherheitslücke behoben: LiFi
Der Blockchain-Sicherheitsbeobachter Cyvers Alerts berichtete, dass die kettenübergreifende Liquiditäts-API LiFi Protocol am Dienstag von einem “Genehmigungs-Exploit” betroffen war. Mehr als $8 Millionen” wurden bei dem Angriff abgelassen. Das Protokoll wurde inzwischen bereinigt, versicherte das LiFi-Protokoll den Nutzern am Mittwoch.
Als Cyvers zum ersten Mal über den Angriff twitterte, hatte der Wachhund einen Verlust von fast $8 Millionen geschätzt. Der heute veröffentlichte Bericht von LiFi über Sicherheitsvorfälle zeigt, dass $11,6 Millionen abgezogen wurden.
Im Sicherheitsbericht von LiFi heißt es: “Der Gesamtbetrag, der gestohlen wurde, wird auf etwa 11,6 Millionen Dollar geschätzt. Der Angriff erfolgte auf Ethereum und Arbitrum und betraf 153 Wallets. Zu den abgezogenen Vermögenswerten gehören USDC, USDT und DAI. Es ist wichtig anzumerken, dass die Schwachstelle auf unendliche Genehmigungen beschränkt war und sich nicht auf endliche Genehmigungen auswirkte, was die Standardeinstellung innerhalb der LI.FI API, des SDK und des Widgets ist.”
Das LiFi-Protokoll twitterte am Mittwoch: “Ein Smart-Contract-Exploit von heute früh wurde eingedämmt und die betroffene Smart-Contract-Facette deaktiviert. Es besteht derzeit kein weiteres Risiko für die Benutzer.”
“Die einzigen betroffenen Geldbörsen, die auf unendliche Genehmigungen eingestellt waren und nur eine sehr kleine Anzahl von Nutzern repräsentierten.”
Cyvers empfahl den Benutzern des LiFi-Protokolls, die Genehmigung zu widerrufen:
0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae
LiFi warnte die Benutzer kurz nach der Warnung von Cyves Alerts auch, die Genehmigungen für die folgenden Adressen zu widerrufen:
0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae
0x341e94069f53234fE6DabeF707aD424830525715
0xDE1E598b81620773454588B85D6b5D4eEC32573e
0x24ca98fB6972F5eE05f0dB00595c7f68D9FaFd68
Der Defi-Sicherheitsspezialist Decurity twitterte: “Die Ursache ist ein möglicher willkürlicher Aufruf mit benutzergesteuerten Daten über `depositToGasZipERC20()` in GasZipFacet, das vor 5 Tagen bereitgestellt wurde!”
Hüten Sie sich vor gefälschten X-IDs, die sich als LiFi-Protokoll ausgeben. Es wird dringend empfohlen, die Interaktion mit den gefälschten IDs zu vermeiden, insbesondere sollten Sie nicht auf die Links dieser IDs klicken. Bitte beachten Sie, dass die ursprüngliche LiFi X (früher Twitter) ID “@lifiprotocol” lautet.
Das folgende Bild zeigt einen Imitator, der auf den Tweet von Decurity antwortet. Beachten Sie im Bild das X (ehemals Twitter)-Handle des Imitators; diese ID entspricht nicht dem LiFi-Protokoll. Sehen Sie sich den Link genau an, dort steht LIFIPROTOCOI (mit einem ‘i’ am Ende, nicht mit einem ‘L’).
LiFi erklärt Angriff im Bericht über Sicherheitsvorfälle
In Bezug auf den jüngsten Angriff vermerkt LiFi in seinem Bericht über den Sicherheitsvorfall: “Der Angriff erfolgte kurz nach der Bereitstellung einer neuen Smart Contract Facette. Eine Schwachstelle in dem Upgrade ermöglichte es dem Angreifer, sich innerhalb weniger Minuten nach der Bereitstellung unbefugten Zugang zu den Geldbörsen der Nutzer zu verschaffen.”
Weiter heißt es: “Die Schwachstelle entstand dadurch, dass Aufrufer des Vertrags beliebige Aufrufe an jeden Vertrag ohne Validierung tätigen konnten. Diese Möglichkeit wurde durch die LibSwap-Bibliothek geschaffen, die es ermöglicht, mehrere DEXs, Gebühreneintreiber und andere Einheiten aufzurufen, bevor sie Geld an einen Benutzer überweisen oder senden. Bei allen anderen Aspekten des LI.FI-Vertrages wurden diese Anrufe anhand einer Whitelist zugelassener Vertragsadressen und -funktionen überprüft. Aufgrund eines individuellen menschlichen Fehlers bei der Überwachung des Einführungsprozesses fehlte diese Überprüfung im Fall der neuen Facette jedoch.”
Peckshield wies darauf hin, dass der Exploit vom Dienstag einem Angriff vom 20. März 2022 ähnelte. Der Angriff 2022 wird im LiFi-Blog beschrieben und erklärt. Dem Blog zufolge nutzte der Angreifer die Swap-Funktion des Smart Contracts von LiFi aus. Wegen dieses Fehlers sind fast 600.000 $ verloren gegangen.
LiFi verwendet die Swapping-Funktion, bevor die Gelder über eine Brücke übertragen werden. Die Benutzer, die Genehmigungen auf unendlich gesetzt hatten, waren anfällig.
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.thecoinrepublic.com/de/2024/07/19/lifi-veroeffentlicht-bericht-ueber-sicherheitsvorfaelle-nach-116-mio-genehmigungsausnutzung/&media=https://www.thecoinrepublic.com/wp-content/uploads/2024/07/LiFi-Issues-Post-Mortem-Report-After-11.6M-Approval-Exploit-1.webp&description=LiFi hat das Protokoll repariert, nachdem die 11 Millionen Dollar am Dienstag entdeckt worden waren.Cyvers Alerts hat LiFi als erstes auf den "Genehmigungs-Exploit" aufmerksam gemacht.){kind=link}