几天前,跨链桥协议 LI.FI 发生遭漏洞利用损失近 1,200 万美元的消息,并在昨日 (18) 发布了安全事件报告,强调将全额补偿受害者。然而却被挖出,两年前就曾因同样漏洞,使得用户蒙受 60 万美元损失。
跨链桥 LI.FI 遭骇 1,160 万美元
链上资安团队慢雾于周二指出,监测到了 LI.FI 遭到漏洞利用,在一个小时内流出超过 1,000 万美元资金,并呼吁使用者立即取消合约授权。
LI.FI 在当时透过 X 要求用户停止与 LI.FI 相关应用互动,强调仅有少数钱包受到影响。
报告写道,共有 153 个与 LI.FI 相关的钱包,在攻击中损失 1,160 万美元的 USDC、USDT、DAI 稳定币及其他加密货币,并把责任归因于智能合约更新期间的「团队人为错误」。
团队同时表明,在当时便已即时启动了安全事件应对计划:
在检测到安全漏洞后,我们的团队便迅速禁用了所有链上的漏洞合约,遏制了威胁,并防止了进一步的未授权存取。
(盘点 2024 上半年遭骇事件:损失金额高达 13.8 亿美元、已是去年同期两倍)
派盾:两年前也被同样漏洞攻击,有学到教训吗?
据悉,该漏洞起源于新部署的智能合约,在验证交易的过程中存在人为上的疏忽,使得升级后的合约漏洞让攻击者在新合约部署后的几分钟内,拥有对用户钱包无需授权的读取权限。
报告写道,LI.FI 用户在桥接资金时,会经由 LibSwap 程式库调用多个去中心化交易所 (DEX) 及其他 DeFi 协议的资料,并就已批准的合约地址及函数进行验证:
然而,由于部署新合约过程中的「人为监督疏失」,此步骤缺少了验证及检查。
资安公司派盾对此指出,LI.FI 似乎早在 2022 年便曾遭受同样的攻击,导致了 60 万美元的损失,如今又重蹈覆彻。
团队呼吁受害者填写表单、积极追回资金
案发后续,LI.FI 也强调正与执法机构及 web3 安全公司合作,以试图监控并追回遭盗的资金:
我们的首要任务是恢复使用者资金,同时也正在评估对受影响用户进行全额赔偿的方案。
团队也呼吁本次事件的受害用户,于连结中填写表单,以便确认补偿方案。