Cầu nối LI.FI bị tấn công với thiệt hại ước tính 10 triệu USD

Vào tối 16/07, cộng đồng DeFi trên mạng xã hội X đã lan truyền thông tin cầu nối LI.FI bị bòn rút tiền.

Cầu nối LI.FI bị tấn công với thiệt hại ước tính 10 triệu USD

Thông tin này được hacker mũ trắng sudo chia sẻ trong bài đăng mới nhất của mình. Địa chỉ smart contract bị bòn rút là "0x123...eae". Được biết, địa chỉ trên là hợp đồng định tuyến router của LI.FI (Li Finance) để giúp tổng hợp thanh khoản ở các đầu cầu.

Lifi Finance getting drained while we speak (almost ~10m so far). Looks like a router approval exploit (to be confirmed).https://t.co/iO8P27mPyX

— sudo rm -rf --no-preserve-root / (@pcaversaccio) July 16, 2024

Thiệt hại tính đến thời điểm của bài viết đang xấp xỉ 10 triệu USD.

Phía LI.FI cũng đã nhanh chóng thông báo xác nhận vụ việc đến người dùng. Bên cạnh địa chỉ được phát hiện ở trên, LI.FI cũng yêu cầu người dùng nhanh chóng huỷ cấp quyền (revoke) ở 3 địa chỉ contract khác.

Please do not interact with any https://t.co/nlZEnqOyQz powered applications for now!

We're investigating a potential exploit. If you did not set infinite approval, you are not at risk.

Only users that have manually set infinite approvals seem to be affected.

Revoke all…

— LI.FI (@lifiprotocol) July 16, 2024

Vụ việc hiện đã liên đới sang cả sàn DEX Jumper Exchange khi nền tảng này cũng yêu cầu người dùng revoke các địa chỉ được LI.FI liệt kê.

Please do not interact with our platform right now!
We're investigating a potential exploit.

If you did not set infinite approval, you are not at risk.

Only users that have manually set infinite approvals seem to be affected.

Revoke all approvals for:…

— Jumper (@JumperExchange) July 16, 2024

LI.FI là dự án cầu nối giúp tổng hợp thanh khoản và tối ưu tỷ giá giao dịch ở các chain. Dự án hiện đang định hướng phát triển theo cơ chế Intent-Based và tích hợp Chain Abstraction để đơn giản hoá trải nghiệm cho người dùng.

Dù vậy, sự cố trên không phải lần đầu tiên LI.FI gặp vấn đề kỹ thuật. Trước đó vào năm 2022, LI.FI cũng từng bị hacker ghé thăm với thiệt hại xấp xỉ 600.000 USD. Theo thông tin từ đơn vị kiểm định kỹ thuật PeckShield, lỗ hổng từ 2 vụ tấn công ở các giai đoạn về cơ bản là giống nhau.

While analyzing today's @lifiprotocol hack, we notice an earlier hack on the same protocol on March 20, 2022.

The bug is basically the same. https://t.co/YcuEe4efOT

Are we learning anything from the past lesson(s)? https://t.co/nV4IuX7T7j pic.twitter.com/aVB6FQ3MnT

— PeckShield Inc. (@peckshield) July 16, 2024

Coin68 tổng hợp

Tham gia thảo luận về những vấn đề NÓNG HỔI nhất của thị trường DeFi tại nhóm chat Fomo Sapiens cùng các admin Coin68 nhé!!!