O agregador de swap Li Finance sofreu um hack nos contratos inteligentes, levando à perda de cerca de US$ 600.000 das carteiras de 29 usuários.
A exploração ocorreu às 2h51 UTC de 20 de março. O invasor conseguiu extrair quantidades variadas de 10 tokens diferentes de carteiras que deram “aprovação infinita” ao protocolo Li Finance. Entre os tokens roubados estavam USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO), Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), AAVE (AAVE), Jarvis Reward Token (JRT) e DAI (DAI).
TLDR:
• ~$600K foram roubados de 29 carteiras
• Os usuários não precisam fazer nada
• O bug foi corrigido e já está implantado https://t.co/fqOxJxDrZs— LI.FI - Any-2-Any Swaps (,) (@lifiprotocol) 21 de março de 2022
Quando a equipe soube do hack 12 horas depois, às 14h15 UTC, desligou todas as funções de swap na plataforma para evitar mais perdas.
Às 2h50 UTC de 21 de março, a equipe emitiu um post mortem (autópsia) detalhando os eventos do hack. A equipe disse que o invasor trocou os tokens roubados por um total de cerca de 205 Ether (ETH) avaliados em aproximadamente US$ 600.000. No momento da redação deste artigo, o ETH roubado ainda não havia sido removido da carteira do invasor. O LiFi também garantiu aos usuários que o bug foi identificado e corrigido.
O hack do LiFi de hoje aconteceu porque sua função swap() interna podria chamar qualquer endereço usando qualquer mensagem que o invasor passasse. Isso permitiu que o invasor fizesse o contrato transferFrom() dos fundos de qualquer pessoa que tivesse aprovado o contrato. pic.twitter.com/NA3xW7ReUd
— Daniel Von Fange (@danielvf) 20 de março de 2022
Das 29 carteiras que foram atingidas neste ataque, 25 foram reembolsadas de fundos do tesouro por suas perdas. Essas 25 carteiras representaram apenas US$ 80.000, ou 13% do valor total perdido. Os proprietários das quatro carteiras restantes que perderam US$ 517.000 combinados foram contatados e ofereceram um acordo para compensá-los, honrando suas perdas como investidores-anjo no protocolo.
Eles receberiam tokens LiFi nos mesmos termos que outros investidores anjos em um valor igual às perdas de cada carteira. Isso também ajudaria a mitigar os danos ao tesouro da plataforma.
O hacker também foi contatado e recebeu uma oferta de recompensa por identificar o bug se devolver os fundos.
O ataque parece ter vindo em um momento infeliz. O CEO da Li Finance, Philipp Zentner, disse ao Cointelegraph em 21 de março que “estamos literalmente a uma semana de nossa auditoria”, acrescentando que “temos várias empresas nos auditando”.
No entanto, mesmo uma auditoria completa do código pode não ter detectado esse bug específico, de acordo com um pesquisador “Transmissions11” da empresa de investimento em criptomoedas Paradigm. Ele explicou em um tweet de 21 de março que o erro no código da Li Finance é fácil de passar batido e “sutil se você não estiver na mentalidade certa”.
Este último hack no setor de finanças descentralizadas (DeFi) demonstra como dar aprovações infinitas a contratos inteligentes abre os fundos de um usuário para uma quantidade maior de risco. Aprovações infinitas permitem que os usuários troquem moedas em uma exchange descentralizada (DEX) um número ilimitado de vezes sem precisar aprovar mais transações.
LEIA MAIS: