Команда кросчейн-протоколу LI.FI поділилася подробицями злому, унаслідок якого користувачі втратили $11,6 млн у стейблкоїнах USDC, USDT і DAI.
Post-mortem and next steps for @lifiprotocol partners and community:https://t.co/H4EEiLAHEc pic.twitter.com/TZmx0VtLxo
— LI.FI (@lifiprotocol) July 18, 2024
Згідно із заявою, злам стався незабаром після розгортання нового аспекту смартконтракту.
«Уразливість виникла через те, що сторони контракту, які викликають, могли здійснювати довільні виклики без перевірки. Цю можливість надала бібліотека LibSwap, яка полегшує взаємодію з кількома DEX, збирачами платежів та іншими суб’єктами перед з’єднанням або надсиланням коштів», — ідеться в заяві.
Через «індивідуальну людську помилку» в контракті була відсутня верифікація схвалених адрес і функцій за білим списком, пояснили розробники.
Атака сталася в мережах Ethereum і Arbitrum, зачепивши 153 гаманці. Постраждали тільки користувачі з увімкненим перманентним схваленням, яке не є налаштуванням за замовчуванням в API, SDK і віджеті LI.FI, підкреслила команда.
«Наш головний пріоритет — відновлення активів користувачів. Ми продовжуємо взаємодіяти з правоохоронними органами та відповідними третіми особами, включно з галузевими фахівцями з безпеки, щоб відстежити і повернути вкрадені кошти», — заявили розробники.
У проєкті оцінюють можливість виплати постраждалим повної компенсації «якомога швидше».
Нагадаємо, 18 липня індійська криптобіржа WazirX втратила внаслідок злому $235 млн у цифрових активах. Експерти Elliptic дійшли висновку, що за атакою стоять північнокорейські хакери.