Swap kaynağı Li Finance, bir akıllı sözleşmesinde 29 kullanıcı cüzdanının yaklaşık 600 bin dolar zarar etmesine yol açan güvenlik zafiyeti yaşadı.
Swap kaynağı Li Finance, bir akıllı sözleşmesinde 29 kullanıcı cüzdanının yaklaşık 600 bin dolar zarar etmesine yol açan güvenlik zafiyeti yaşadı.
Siber saldırı, 20 Mart Türkiye saatiyle 05:51’de gerçekleşti. Saldırgan, Li Finance protokolüne “sonsuz onay” veren cüzdanlardan 10 farklı tokeni değişen miktarlarda çekmeyi başardı. Çalınan kripto paralar arasında USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO), Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), AAVE (AAVE), Jarvis Reward Token (JRT) ve DAI (DAI) yer alıyor.
TLDR:
• ~$600K have been stolen from 29 wallets
• User don’t have to do anything
• Bug has been fixed and is already deployedhttps://t.co/fqOxJxDrZs
— LI.FI – Any-2-Any Swaps (,) (@lifiprotocol) March 21, 2022
Güvenlik zafiyetini aynı gün 17:15’de fark eden ekip, daha fazla zarar edilmesini önlemek için platformdaki tüm swap işlevlerini durdurdu.
Proje ekibi, 21 Mart 05:50’de siber saldırının nasıl gerçekleştiğini detaylarıyla anlatan bir bildiri yayınladı. Ekibe göre hacker, değeri yaklaşık 600 bin dolar olan 205 Ether (ETH) çaldı. Çalınan ETH’ler, çeviri yayın saati itibarıyla hala saldırganın cüzdanında ve hareket ettirilmemiş gözüküyor. Li, kullanıcılara hatanın tespit edildiğini ve yamandığını da doğruladı.
Today’s LiFi hack happed because its internal swap() function would call out to any address using whatever message the attacker passed in. This allowed the attacker to have the contract transferFrom() out the funds from anyone who had approved the contract. pic.twitter.com/NA3xW7ReUd
— Daniel Von Fange (@danielvf) March 20, 2022
Siber saldırıdan etkilenen 29 cüzdandan 25’inin zararı, hazine fonlarından tazmin edildi. Bu 25 cüzdan yalnızca 80 bin dolar, yani toplam zararın yüzde 13’ünden sorumluydu. Toplam zararı 517 bin dolar olan diğer dört cüzdan ile iletişime geçildi ve zararlarını protokolde melek yatırımcı olarak onurlandırılarak tazmin etme teklif edildi.
Söz konusu dört kullanıcı, diğer melek yatırımcılar gibi zararlarına denk değerde LiFi token alacaklar. Bu yöntem, aynı zamanda platform hazinesine verilen zararı da azaltacak.
Ekip, siber saldırgan ile de iletişime geçti ve parayı iade etmesi koşuluyla hata bulma ödülü teklif etti.
Siber saldırı, oldukça talihsiz bir zamanda yaşandı. Li Finance CEO’su Philipp Zentner, 13 Mart’ta Cointelegraph’a yaptığı açıklamada “Denetimden tam anlamıyla bir hafta uzaktayız. Birkaç şirket bizi denetimden geçirecek,” diye belirtmişti.
Diğer yandan bu denetim, kripto yatırım şirketi Paradigm’in araştırmacılarından “Transmissions11”e göre denetim sırasında da gözden kaçabilirdi.