Команда кроссчейн-протокола LI.FI сообщила о взломе. Она расследует возможные причины взлома, который, по-видимому, затрагивает только пользователей, которые вручную устанавливают определенные функции.
«Пожалуйста, пока не взаимодействуйте ни с какими приложениями на базе LI.FI. Мы расследуем потенциальный эксплойт. Если вы не устанавливали бесконечное одобрение, вы не подвергаетесь риску. Настоятельно рекомендуем всем пользователям немедленно воспользоваться нашим сайтом для отмен. Было обнаружено еще 4 нарушения безопасности», — сообщила команда LI.FI.
Пользователи могут проверить, пострадали ли они, посетив scan.li.fi, и могут отозвать разрешения через revoke.cash.
Компания в области безопасности Decurity заявила, что первопричиной является произвольный вызов с контролируемыми пользователем данными газового контракта, размещенного 5 дней назад для оплаты комиссий в сети Ethereum.
.
Атака, по всей видимости, является версией эксплойта «инъекции вызова», который позволяет злоумышленникам использовать параметры в исходном коде для выполнения законных, но неожиданных транзакций. Сообщается, что этот тип уязвимости привел к потере криптовалюты на сотни миллионов долларов.
Компания по безопасности Certik оценивает общие потери проекта примерно в $9 млн. Фирма Peckshield утверждает, что аналогичная атака была совершена на LI.FI в 2022 году.
Источник
Уникальность