LI.FI、約900万ドルの損失を被る

クロスチェーンブロックチェーンプロトコルLI.FIが悪用されたと、チームがソーシャルメディアプラットフォームXで発表しました。チームは、特定の機能を手動で設定したユーザーにのみ影響を与える可能性のあるハッキングの調査を行っています。

「現在、LI.FIを利用したアプリケーションには触れないでください」とLI.FIチームは書いています。「潜在的なエクスプロイトを調査中です。無限承認を設定していない場合、リスクはありません。」

「すべてのユーザーに対し、直ちに当社の専用リボークサイトを利用するよう強く勧めます」とLI.FIは書いており、「さらに4つのセキュリティ侵害が確認されました」と付け加えました。

セキュリティ企業Decurityは、「根本的な原因」は「ユーザーが制御するデータを使用した任意の呼び出し」であり、5日前にブロックチェーン手数料を支払うためにデプロイされたガスコントラクトにあると述べました。

「ハッカーはtransferFrom()呼び出しを含む特別なcalldataを作成し、それをswapDataとしてdepositToGasZipERC20に渡してブリッジから承認されたトークンを盗みました」とDecurityの研究者はXに書いています。

この攻撃は、攻撃者が元のコードのパラメータを使用して正当だが予期しないトランザクションを実行できる「コールインジェクション」エクスプロイトの一種であるようです。このタイプの脆弱性は、数億ドル相当の暗号通貨の損失を引き起こしたと報告されています。

流出した資金を含むウォレットは、ETHで400万ドル以上、DAIステーブルコインで約20万ドルを管理しているとDeFi Worldのデータによるとされています。しかし、その金額は過小評価されている可能性があり、USDTおよびUSDCステーブルコインもプラットフォームから流出しているようです。セキュリティ企業Certikは、総損失額を約900万ドルと見積もっています。

別のセキュリティ企業Peckshieldは、2022年にもLI.FIに同様の攻撃があったと主張しています。