Trong tối qua (20/03), giải pháp cầu nối Li Finance đã gặp lỗ hổng trong smart contract, từ đó tạo điều kiện cho các hacker tận dụng và đánh cắp tài sản từ người dùng sản phẩm này.
Trang Twitter của Li Finance cho biết:
We are investigating a potential exploit on https://t.co/nlZEnqOyQz smart contract:
0x5a9fd7c39a6c488e715437d7b1f3c823d5596ed1All swap methods have been disabled until we can lock them down and ensure they are safe for use. We will update you as we find out more.
— LI.FI – Any-2-Any Swaps (?,?) (@lifiprotocol) March 20, 2022
“Chúng tôi đã phát hiện ra một lỗ hổng có thể bị khai thác trong hợp đồng có địa chỉ:
0x5a9fd7c39a6c488e715437d7b1f3c823d5596ed1
Tất cả các tính năng swap đã được vô hiệu hoá cho đến khi mọi lỗ hổng được kiểm tra và đảm bảo an toàn trước khi sử dụng. Chúng tôi sẽ nhanh chóng cập nhật cho người dùng.”
Cũng trong chuỗi tweet này, Li Finance khẳng định đã vá được lỗ hổng trên. Đồng thời 25/29 địa chỉ ví bị ảnh hưởng đã được bồi hoàn tài sản bị thất thoát. Hiện người dùng không cần phải thao tác gì thêm và các báo cáo Post Mortem về vụ việc sẽ được công bố.
Trước khi có những thông báo chính thức, tài khoản Twitter cá nhân Daniel Von Fange đã chia sẻ về những nhận định cá nhân về lỗ hổng trên:
Today’s LiFi hack happed because its internal swap() function would call out to any address using whatever message the attacker passed in. This allowed the attacker to have the contract transferFrom() out the funds from anyone who had approved the contract. pic.twitter.com/NA3xW7ReUd
— Daniel Von Fange (@danielvf) March 20, 2022
“Vụ hack trên diễn ra vì hàm Internal swap() và sẽ gọi đến bất cứ địa chỉ nào mà hacker truyền vào. Điều này cho phép hacker có thể yêu cầu hợp đồng thực hiện hàm transferFrom() toàn bộ lượng tiền của những ai đã approve cho contract trên.”
Đồng thời, hợp đồng này còn được thiết kế cho phép thực hiện nhiều giao dịch một lúc, hacker đã có thể tăng tốc quá trình bòn rút của mình.
Hiện về phía dự án chưa có công bố chi tiết về lượng tiền bị ảnh hưởng sau vụ việc trên.
Cập nhật
Trang Twitter của Li Finance đã có những cập nhật mới nhất về vụ việc trên:
TLDR:
• ~$600K have been stolen from 29 wallets
• User don’t have to do anything
• Bug has been fixed and is already deployedhttps://t.co/fqOxJxDrZs— LI.FI – Any-2-Any Swaps (?,?) (@lifiprotocol) March 21, 2022
“600 ngàn USD bị đánh cắp từ 29 địa chỉ ví
Người dùng không cần thực hiện thao tác gì thêm
Lỗ hổng trên đã được và và phiên bản vá lỗi đã được deploy.”
Coin68 tổng hợp
Có thể bạn quan tâm: