DEX-агрегатор Li Finance сообщил о хакерской атаке, в ходе которой похищено 205 ETH (~$591 630) из 29 кошельков, подключенных к сервису. Команда проекта закрыла эксплойт и возместила потери большей части пользователей.
TLDR:• ~$600K have been stolen from 29 wallets• User don’t have to do anything• Bug has been fixed and is already deployedhttps://t.co/fqOxJxDrZs— LI.FI - Any-2-Any Swaps (🦎,🦎) (@lifiprotocol) March 21, 2022
Согласно сообщению, 20 марта злоумышленник воспользовался уязвимостью в смарт-контракте Li Finance, позволяющей переводить активы из кошельков пользователей, которые подписали «бессрочное одобрение» для протокола.
Аналитик инвестиционной компании Paradigm под ником t11s подчеркнул, что даже тщательный аудит мог не выявить этот эксплойт. По его словам, ошибку в коде Li Finance легко пропустит, и она «незаметна, если вы в своем уме».
not a dunk on LiFi btw, i've implemented the same flaw in my own code in the past and have missed it when reviewing other's too. it's subtle if you're not in the right mindset, which is why we need to get the word out— t11s (@transmissions11) March 20, 2022
Когда команда проекта узнала об инциденте, она отключила все свопы на платформе. Однако хакер успел вывести около $600 000 в токенах, включая USD Coin (USDC), Polygon (MATIC), Tether (USDT) и другие.
Похищенные активы злоумышленник конвертировал в Ethereum. Криптовалюта до сих пор хранится на его адресе.
В Li Finance заявили, что возместили потери 25 кошельков на совокупную сумму $80 000. На оставшиеся четыре кошелька приходится около $517 000 украденных средств. Команда связалась с владельцами адресов и предложила им «особые» компенсации:
«Чтобы уменьшить ущерб нашей казне, мы предлагаем конвертировать потерянные средства в ангельские инвестиции Li Finance и в будущие токены Li.Fi на тех же условиях, что и для наших инвесторов в текущем раунде финансирования. [...] Однако окончательное решение остается за пользователями».
Специалисты Li Finance также обратились к хакеру с просьбой вернуть похищенные активы за вознаграждение.
Сервис децентрализованных оракулов Umbrella Network также сообщил о взломе. Злоумышленник воспользовался эксплойтом в стейкинговых контрактах для поставщиков ликвидности пулов Ethereum и BNB.
Dear Umbrella CommunityEarlier today, hackers managed to exploit our Polar Stream staking contracts on both Ethereum and BNB Chain and drained the LP tokens staked in both of the contracts. The hacker then withdrew liquidity using those stolen LP tokens from both the UMB-ETH— Umbrella Network (@UmbNetwork) March 20, 2022
В результате атаки хакер вывел токены из этих пулов. Команда проекта заявила, что злоумышленник реализовал на открытом рынке свыше 2,2 млн UMB. Специалисты PeckShield оценили ущерб в $700 000.
#SafeMath# matters!The @UmbNetwork reward pools are drained at both @BNBCHAIN and @ethereum, leading to the ~$700K gain for the hacker! The hack is possible because of an unchecked underflow in withdraw() so that anyone can withdraw any amount even without any balance! pic.twitter.com/SF38DNzJY6— PeckShield Inc. (@peckshield) March 20, 2022
В Umbrella Network гарантировали, что выплатят компенсации всем пострадавшим пользователям. Команда также подчеркнула, что другие смарт-контракты протокола не пострадали.
Расследование инцидента не завершено, подробную информацию обещали опубликовать позже.
Напомним, в марте 2022 года хакеры похитили $11 млн в результате взлома DeFi-протоколов Agave и Hundred Finance.
