Amenaza contenida, vulnerabilidad corregida: LiFi
El perro guardián de la seguridad de la cadena de bloques, Cyvers Alerts, informó de que la API de liquidez entre cadenas LiFi Protocol sufrió un “exploit de aprobación” el martes. Más de 8 millones de dólares” drenados en el atentado. Desde entonces, el protocolo se ha saneado, aseguró el miércoles el protocolo LiFi a los usuarios.
Cuando Cyvers tuiteó por primera vez sobre el ataque, el perro guardián había estimado una fuga de casi 8 millones de dólares. El informe de incidentes de seguridad de LiFi, que ha publicado hoy, revela que se han drenado 11,6 millones de dólares.
El informe del incidente de seguridad de LiFi afirmaba: “Se calcula que el importe total robado ronda los 11,6 millones de dólares”. El ataque se produjo en Ethereum y Arbitrum, afectando a 153 monederos. Los activos drenados incluían USDC, USDT y DAI. Es importante señalar que la vulnerabilidad se limitaba a las aprobaciones infinitas y no afectaba a las aprobaciones finitas, que es la configuración por defecto dentro de la API, el SDK y el widget de LI.FI.”
El protocolo LiFi tuiteó el miércoles “Se ha contenido un exploit de contrato inteligente de hoy y se ha desactivado la faceta de contrato inteligente afectada. Actualmente no hay más riesgo para los usuarios”.
“Los únicos monederos afectados, configurados con aprobaciones infinitas, y sólo representaban a un número muy reducido de usuarios”.
Cyvers recomendó a los usuarios del protocolo LiFi que revocaran la aprobación de:
0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae
LiFi también advirtió a los usuarios, poco después del aviso de Cyves Alerts, que revocaran las autorizaciones de las siguientes direcciones:
0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae
0x341e94069f53234fE6DabeF707aD424830525715
0xDE1E598b81620773454588B85D6b5D4eEC32573e
0x24ca98fB6972F5eE05f0dB00595c7f68D9FaFd68
Decurity, especialista en seguridad de Defi, tuiteó “¡La causa raíz es la posibilidad de una llamada arbitraria con datos controlados por el usuario a través de `depositToGasZipERC20()` en GasZipFacet, que se desplegó hace 5 días!”
Los usuarios deben tener cuidado con los X ID falsos que se hacen pasar por el Protocolo LiFi. Se recomienda encarecidamente evitar interactuar con las identificaciones falsas, en particular, evitar hacer clic en cualquier enlace de estas identificaciones. Ten en cuenta que el ID original de LiFi X (antes Twitter) es “@lifiprotocol”.
La siguiente imagen muestra a un suplantador respondiendo al tuit de Decurity. En la imagen, observa el identificador X (antes Twitter) del suplantador; este identificador no representa el protocolo LiFi. Además, fíjate bien en el enlace, dice LIFIPROTOCOI (hay una “i” al final, no una “L”).
LiFi explica el ataque en un informe sobre incidentes de seguridad
Respecto al último ataque, LiFi’s señaló en su informe de incidentes de seguridad: “El exploit se produjo poco después del despliegue de una nueva faceta de contrato inteligente. Una vulnerabilidad en la actualización permitió al atacante obtener acceso no autorizado a las carteras de los usuarios a los pocos minutos de su despliegue.”
Y añadía: “La vulnerabilidad se derivaba del hecho de que las personas que llamaban al contrato podían realizar llamadas arbitrarias a cualquier contrato sin validación. Esta capacidad la proporcionaba la biblioteca LibSwap, que facilita la realización de llamadas a múltiples DEX, recaudadores de comisiones y otras entidades antes de puentear o enviar fondos a un usuario. En todas las demás facetas del contrato LI.FI, estas llamadas se validaban con una lista blanca de direcciones y funciones contractuales aprobadas. Sin embargo, debido a un error humano individual en la supervisión del proceso de despliegue, en el caso de la nueva faceta, faltaba esta comprobación de validación.”
Peckshield destacó que el exploit del martes era similar a un ataque del 20 de marzo de 2022. El ataque 2022 descrito y explicado en el blog de LiFi. Según el blog, el atacante explotó la función de intercambio del contrato inteligente de LiFi. Casi 600.000 dólares perdidos por culpa de ese fallo.
LiFi utiliza la función de intercambio antes de que los fondos se transfieran a través de un puente. Los usuarios que habían establecido aprobaciones infinitas eran vulnerables.
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.thecoinrepublic.com/es/2024/07/19/lifi-emite-un-informe-de-incidentes-de-seguridad-tras-la-vulneracion-de-la-aprobacion-de-116-millones-de-dolares/&media=https://www.thecoinrepublic.com/wp-content/uploads/2024/07/LiFi-Issues-Post-Mortem-Report-After-11.6M-Approval-Exploit-1.webp&description=LiFi ha corregido el protocolo después de que se descubriera el martes.Cyvers Alerts alertó por primera vez a LiFi sobre el "exploit de aprobación".){kind=link}