Li.Finance, un intercambio descentralizado (DEX) con sede en Alemania, explotó uno de sus contratos inteligentes, lo que provocó que 29 usuarios perdieran alrededor de $ 600,000 en varios activos. La vulnerabilidad ahora ha sido parcheada y la mayoría de los usuarios afectados han sido reembolsados.
Según la autopsia de Li.Finance, el 20 de marzo, un atacante explotó un contrato responsable de los intercambios previos al puente y logró robar alrededor de 200 ETH en una sola transacción:
Las 29 billeteras afectadas se vaciaron de una variedad de tokens, y el ataque se basó en billeteras que tenían sus contratos de token configurados para otorgar aprobaciones infinitas. Los tokens incluidos fueron USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT y DAI. Todos ellos se convirtieron a ETH y todavía están en la billetera del hacker.
Opción de recompensa por error ignorada
El protocolo también le dio al pirata informático la opción de reclamar una recompensa por errores, pero no hubo respuesta. El escritor agregó en la publicación: “Si está leyendo esto, estaríamos extremadamente agradecidos de brindarle una recompensa generosa y nos obligaríamos a no revelar ninguna información sobre su identidad”.
La dirección de la billetera del ladrón que contiene los fondos robados. Fuente: Etherscan
Li.Fi siendo un buen chico
La publicación oficial indicó que la vulnerabilidad ya había sido reparada y que la mayoría de los usuarios afectados fueron compensados dentro de las 24 horas. De las 29 billeteras afectadas, 25 fueron reembolsadas por un total de $80,000.
A los propietarios de los $ 517 000 restantes adeudados a cuatro billeteras se les dio la opción de convertir los fondos perdidos en una inversión ángel en Li.Fi y, por lo tanto, se les otorgarán futuros tokens LI.FI en los mismos términos que un inversor en la ronda actual. de financiación. Si lo hace, reduce el daño a la tesorería de la plataforma y también permite a los usuarios recuperar su inversión con “una oportunidad que no habría sido posible de otro modo con un enorme potencial de crecimiento”.
Importancia de las auditorías y la seguridad de DeFi
Según el CEO de Li.Finance, Philipp Zentner, la plataforma estaba a solo una semana de su auditoría de seguridad programada. Es posible que la auditoría haya podido detectar el error antes de que fuera explotado, pero nada está garantizado:
Esta exploración proporcionó otro ejemplo de por qué la seguridad debe ser de suma importancia. Como constructores en el espacio, es nuestra responsabilidad garantizar que los fondos de los usuarios estén seguros por encima [all] otro. Nuestros usuarios pueden estar seguros de que la auditoría se está llevando a cabo y que el LI.FI es seguro de usar.
Li. Finanzas post mortem
Este último truco demuestra cómo otorgar aprobaciones infinitas a los contratos inteligentes puede potencialmente abrir los fondos de un usuario a una mayor cantidad de riesgo. Las aprobaciones infinitas permiten a los usuarios intercambiar monedas en un intercambio descentralizado un número ilimitado de veces sin necesidad de aprobación adicional.
A principios de este mes, Deus Finance también sufrió un ataque que le costó al protocolo 3 millones de dólares, siguiendo de cerca el ataque de Fantasm Finance que le costó al proyecto 2,6 millones de dólares. La importancia de la seguridad no puede subestimarse en el espacio; Según el informe Chainalysis Crypto Crime de 2021, las criptomonedas robadas de DeFi han aumentado en un 1330 % desde 2020.