Угроза локализована, уязвимость устранена: LiFi
Наблюдательная собака за безопасностью блокчейна Cyvers Alerts сообщила, что во вторник межцепочечный API LiFi Protocol подвергся “эксплойту одобрения”. В результате атаки было уничтожено ‘более 8 миллионов долларов’. После этого протокол был исправлен, заверил пользователей протокол LiFi в среду.
Когда Сайверс впервые сообщил об атаке в Твиттере, сторожевая собака оценила слив почти в 8 миллионов долларов. Отчет об инцидентах безопасности компании LiFi, опубликованный сегодня, показал, что 11,6 миллионов долларов были осушены.
В отчете об инциденте безопасности LiFi говорится: “Общая сумма похищенного оценивается примерно в $11,6 млн. Атака произошла на Ethereum и Arbitrum, затронув 153 кошелька. В число слитых активов входили USDC, USDT и DAI. Важно отметить, что уязвимость ограничивалась бесконечными одобрениями и не затрагивала конечные одобрения, которые являются настройками по умолчанию в API, SDK и виджете LI.FI”.
Протокол LiFi сообщил в среду в Твиттере: “Эксплойт для смарт-контрактов, обнаруженный ранее сегодня, был сдержан, а затронутый фасет смарт-контракта отключен. В настоящее время дальнейший риск для пользователей отсутствует”.
“Единственные затронутые кошельки, настроенные на бесконечное количество одобрений, представляли лишь очень небольшое количество пользователей”.
Сайверс рекомендовал пользователям протокола LiFi отозвать разрешение на его использование:
0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae
Компания LiFi также предупредила пользователей вскоре после предупреждения Cyves Alerts об отзыве разрешений на следующие адреса:
0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae
0x341e94069f53234fE6DabeF707aD424830525715
0xDE1E598b81620773454588B85D6b5D4eEC32573e
0x24ca98fB6972F5eE05f0dB00595c7f68D9FaFd68
Специалист по безопасности Defi компания Decurity написала в Твиттере: “Основная причина – возможность произвольного вызова с данными, контролируемыми пользователем, через `depositToGasZipERC20()` в GasZipFacet, который был развернут 5 дней назад!”.
Пользователи остерегаются поддельных X ID, выдающих себя за протокол LiFi. Настоятельно рекомендуется избегать взаимодействия с поддельными идентификаторами, в частности, не переходить по ссылкам с их помощью. Обратите внимание, что оригинальный идентификатор LiFi X (ранее Twitter) – “@lifiprotocol”.
На следующем изображении показан пародист, отвечающий на твит Decurity. На этом изображении обратите внимание на ручку X (ранее Twitter), выдающего себя за другого человека; этот идентификатор не соответствует протоколу LiFi. Кроме того, внимательно посмотрите ссылку, там написано LIFIPROTOCOI (в конце стоит “i”, а не “L”).
LiFi объясняет атаку в отчете об инциденте безопасности
Что касается последней атаки, компания LiFi’s отметила в своем отчете об инциденте безопасности: “Эксплойт произошел вскоре после развертывания нового фасета смарт-контракта. Уязвимость в обновлении позволила злоумышленнику получить несанкционированный доступ к кошелькам пользователей в течение нескольких минут после развертывания”.
Он добавил: “Уязвимость связана с тем, что пользователи, вызывающие контракт, могли совершать произвольные вызовы любого контракта без проверки. Такую возможность предоставляла библиотека LibSwap, которая облегчает обращение к нескольким DEX, сборщикам комиссии и другим сущностям, прежде чем установить мост или отправить средства пользователю. Во всех остальных аспектах контракта LI.FI эти вызовы проверялись по “белому списку” утвержденных адресов и функций контракта. Однако по причине индивидуальной человеческой ошибки при контроле процесса развертывания, в случае с новым фасетом эта проверка отсутствовала.”
Peckshield подчеркнул, что вторничный эксплойт был похож на атаку, датированную 20 марта 2022 года. Атака 2022 описана и объяснена в блоге LiFi. Как сообщается в блоге, злоумышленник использовал функцию обмена в смарт-контракте LiFi. Почти $600K пропало из-за этой ошибки.
LiFi использует функцию обмена до того, как средства будут переданы через мост. Те пользователи, которые установили бесконечные разрешения, были уязвимы.