O protocolo DeFi Li.Fi sofreu um exploit que resultou na perda de aproximadamente US$ 9 milhões. A equipe do Li.Fi está investigando o incidente e alertou os usuários para evitar interações com aplicações ligadas ao protocolo até que a situação seja resolvida.
Please do not interact with any https://t.co/nlZEnqOyQz powered applications for now!
We're investigating a potential exploit. If you did not set infinite approval, you are not at risk.
Only users that have manually set infinite approvals seem to be affected.
Revoke all…
— LI.FI (@lifiprotocol) July 16, 2024
‘Por favor, não interaja com nenhum aplicativo alimentado pelo LI.FI por enquanto.’ escreveu LI.FI no X. ‘Estamos investigando um potencial exploit. Se você não definiu aprovação infinita, você não está em risco.’
Detalhes do ataque
O exploit no protocolo Li.Fi afetou principalmente usuários que configuraram manualmente certas funcionalidades, como a aprovação infinita de transações.
A firma de segurança Decurity identificou que a causa raiz do ataque foi uma chamada arbitrária com dados controlados pelo usuário a um contrato de gás implantado cinco dias antes para pagar taxas de blockchain no Ethereum.
O hacker utilizou chamadas especiais do transferFrom() e as passou como swapData para o depositToGasZipERC20, permitindo a transferência de tokens aprovados da ponte. Esse tipo de vulnerabilidade, conhecido como ‘injeção de chamada’, tem sido responsável por perdas significativas no espaço de criptomoedas.
Segundo dados da DeFi World, uma carteira que contém os fundos drenados controla mais de US$ 4 milhões em ETH e cerca de US$ 200.000 em stablecoins DAI.
Our alerting system has flagged multiple suspicious transactions involving EOA 0x8B3Cb6Bf982798fba233Bca56749e22EEc42DcF3
The wallet is currently holding $8.7m worth of assets
We are currently investigating pic.twitter.com/15OXsHeT9Y
— CertiK Alert (@CertiKAlert) July 16, 2024
No entanto, esse valor provavelmente está subestimado, pois stablecoins USDT e USDC também parecem estar saindo da plataforma. A firma de segurança Certik estima que as perdas totais sejam de cerca de US$ 9 milhões.
Resposta e medidas tomadas
Em resposta ao ataque, a equipe do Li.Fi pediu aos usuários que revoguem permissões e evitem interagir com quaisquer aplicações que utilizem o protocolo Li.Fi no momento. A equipe também identificou quatro outras brechas de segurança e está trabalhando para resolver todas as questões identificadas.
A empresa Peckshield, que também está investigando o incidente, alegou que um ataque semelhante atingiu o Li.Fi em 2022. A repetição de vulnerabilidades sugere a necessidade de medidas de segurança mais robustas e auditorias contínuas para prevenir futuros exploits.
While analyzing today's @lifiprotocol hack, we notice an earlier hack on the same protocol on March 20, 2022.
The bug is basically the same. https://t.co/YcuEe4efOT
Are we learning anything from the past lesson(s)? https://t.co/nV4IuX7T7j pic.twitter.com/aVB6FQ3MnT
— PeckShield Inc. (@peckshield) July 16, 2024
Este incidente destaca a importância de práticas de segurança rigorosas e monitoramento constante no espaço DeFi, onde as plataformas devem estar preparadas para enfrentar e mitigar riscos associados a vulnerabilidades de contratos inteligentes.
