跨链桥协议LI.FI遭骇1,200万美元,派盾:两年前就被同样漏洞骇过

几天前,跨链桥协议 LI.FI 发生遭漏洞利用损失近 1,200 万美元的消息,并在昨日 (18) 发布了安全事件报告,强调将全额补偿受害者。然而却被挖出,两年前就曾因同样漏洞,使得用户蒙受 60 万美元损失。

内容目录

Toggle跨链桥 LI.FI 遭骇 1,160 万美元

链上资安团队慢雾於周二指出,监测到了 LI.FI 遭到漏洞利用,在一个小时内流出超过 1,000 万美元资金,并呼吁使用者立即取消合约授权。

LI.FI 在当时透过 X 要求用户停止与 LI.FI 相关应用互动,强调仅有少数钱包受到影响。

广告 – 内文未完请往下卷动

报告写道,共有 153 个与 LI.FI 相关的钱包,在攻击中损失 1,160 万美元的 USDC、USDT、DAI 稳定币及其他加密货币,并把责任归因於智能合约更新期间的「团队人为错误」。

团队同时表明,在当时便已即时启动了安全事件应对计划:

在检测到安全漏洞後,我们的团队便迅速禁用了所有链上的漏洞合约,遏制了威胁,并防止了进一步的未授权存取。

(盘点 2024 上半年遭骇事件:损失金额高达 13.8 亿美元、已是去年同期两倍)

派盾:两年前也被同样漏洞攻击,有学到教训吗?

据悉,该漏洞起源於新部署的智能合约,在验证交易的过程中存在人为上的疏忽,使得升级後的合约漏洞让攻击者在新合约部署後的几分钟内,拥有对用户钱包无需授权的读取权限。

报告写道,LI.FI 用户在桥接资金时,会经由 LibSwap 程式库调用多个去中心化交易所 (DEX) 及其他 DeFi 协议的资料,并就已批准的合约地址及函数进行验证:

然而,由於部署新合约过程中的「人为监督疏失」,此步骤缺少了验证及检查。

资安公司派盾对此指出,LI.FI 似乎早在 2022 年便曾遭受同样的攻击,导致了 60 万美元的损失,如今又重蹈覆彻。

团队呼吁受害者填写表单、积极追回资金

案发後续,LI.FI 也强调正与执法机构及 web3 安全公司合作,以试图监控并追回遭盗的资金:

我们的首要任务是恢复使用者资金,同时也正在评估对受影响用户进行全额赔偿的方案。

团队也呼吁本次事件的受害用户,於连结中填写表单,以便确认补偿方案。

LI.FI慢雾派盾遭骇 衍伸阅读

Leave a Reply

Your email address will not be published. Required fields are marked *