O Protocolo LiFi, uma plataforma de troca de ativos e ponte compatível com as cadeias Solana e EVM, foi explorado por cerca de US$ 10 milhões.
A plataforma DeFi reconheceu a violação, mas não revelou o valor exato perdido. Ela pediu aos membros da comunidade que evitassem interagir com seu sistema.
Ele escreveu:
“Por favor, não interaja com nenhum aplicativo alimentado por LIFI por enquanto! Estamos investigando uma potencial exploração. Se você não definiu aprovação infinita, você não corre risco. Apenas usuários que definiram manualmente aprovações infinitas parecem ser afetados.”
10 milhões de dólares drenados
Em 16 de julho, a Cyvers Alert, uma plataforma de segurança web3, relatou transações suspeitas envolvendo um contrato inteligente LiFi.
A plataforma revelou que essas transações levaram a perdas de cerca de US$ 10 milhões em ativos de usuários — incluindo US$ 6,3 milhões em USDT, US$ 3,1 milhões em USDC e cerca de US$ 170.000 em stablecoin DAI — em várias redes de blockchain, incluindo a rede Ethereum de camada 2 Arbitrum.
O analista de blockchain Lookonchain relatou que as stablecoins roubadas foram trocadas por 2.857 ETH, o equivalente a US$ 9,7 milhões, e distribuídas para várias carteiras.
Meir Dolev, cofundador e diretor de tecnologia da Cyvers, disse ao CryptoSlate:
“O incidente destaca os perigos de dar aprovações de carteira para contratos inteligentes. É crucial que os protocolos fiquem alertas, pois os hackers podem tirar vantagem dessas aprovações para roubar ativos nos contratos e fundos nas carteiras conectadas dos usuários.”
Outra empresa de segurança Blockchain, a Blockaid, explicou que a raiz do ataque estava explorando a implementação de proxy da plataforma. Ela acrescentou:
“Os invasores conseguiram explorar uma vulnerabilidade na implementação do proxy, onde um invasor é capaz de injetar uma chamada de função no contrato – uma habilidade que eles então usaram para injetar transferir de chama usuários aprovados.”
Notavelmente, a empresa de segurança de blockchain Peckshield destacou que a plataforma Li.Fi sofreu um ataque semelhante em março de 2022. Naquela época, a Li.Fi disse que o invasor explorou seu contrato inteligente por meio de um recurso de troca que chama contratos de token diretamente em vez de realizar trocas reais.
Enquanto isso, o ataque levou à disseminação de vários links de golpes de phishing nas redes sociais, pedindo aos usuários que “revoguem” seu acesso à plataforma por meio de links suspeitos.
Mencionado neste artigo
source – cryptoslate.com
