ในฐานะนักลงทุน crypto ผู้ช่ำชองและมีประสบการณ์หลายปี ฉันอดไม่ได้ที่จะรู้สึกผิดหวังและความหงุดหงิดเมื่อได้ยินเกี่ยวกับการใช้ประโยชน์ครั้งล่าสุดบนโปรโตคอล LI.FI ด้วยเงินของผู้ใช้กว่า 8 ล้านเหรียญสหรัฐที่ถูกขโมยไปจากช่องโหว่ที่คล้ายกันซึ่งถูกระบุก่อนหน้านี้และคาดว่าจะได้รับการแก้ไขในเดือนมีนาคม 2022 เป็นเรื่องที่น่าท้อใจที่จะเห็นประวัติศาสตร์ซ้ำรอย
ทรัพย์สินมูลค่ากว่า 8 ล้านเหรียญสหรัฐถูกพรากไปอย่างผิดกฎหมายจากโปรโตคอล LI.FI ของแพลตฟอร์มการเงินแบบกระจายอำนาจ (DeFi)
ผู้รวบรวมธุรกรรมข้ามสายโซ่ LI.FI มีธุรกรรมที่น่าสงสัยที่ระบุโดย Cyvers Alerts
LI.FI ออกคำเตือนหลังจากการใช้ประโยชน์มูลค่า 8 ล้านดอลลาร์
“ในวันที่ 16 กรกฎาคม LI.FI รับทราบถึงช่องโหว่ที่น่าสงสัยในระบบของพวกเขาผ่านทาง X และขอเรียกร้องให้ผู้ใช้อย่ามีส่วนร่วมกับแอปพลิเคชันใดๆ ที่ขับเคลื่อนโดย LI.FI ในขณะนี้ มีการชี้แจงว่าปัญหานี้ส่งผลกระทบต่อผู้ที่ตั้งค่าการอนุมัติแบบไม่มีที่สิ้นสุดด้วยตนเองเท่านั้น ซึ่งหมายความว่าผู้ใช้ที่ไม่ได้ดำเนินการนี้จะไม่มีความเสี่ยง”
โปรดอย่าโต้ตอบกับแอปพลิเคชันที่ขับเคลื่อนใดๆ ในตอนนี้!
เรากำลังตรวจสอบการหาประโยชน์ที่อาจเกิดขึ้น หากคุณไม่ได้ตั้งค่าการอนุมัติแบบไม่มีที่สิ้นสุด คุณก็จะไม่ตกอยู่ในความเสี่ยง
เฉพาะผู้ใช้ที่ตั้งค่าการอนุมัติแบบไม่จำกัดด้วยตนเองเท่านั้นที่จะได้รับผลกระทบ
เพิกถอนทั้งหมด…
— LI.FI (@lifiprotocol) วันที่ 16 กรกฎาคม 2024
ตามรายงานของ Cybers Alerts กองทุนผู้ใช้มากกว่า 8 ล้านดอลลาร์ถูกขโมย โดยส่วนใหญ่มาจากเหรียญ stablecoin ตามข้อมูลออนไลน์ กระเป๋าเงินของโจรมีประมาณ 1,715 Ether (ETH) มูลค่าประมาณ 5.8 ล้านดอลลาร์ พร้อมด้วย USDC, USDT และ DAI stablecoins
ALERT@lifiprotocol ระบบของเราได้เพิ่มธุรกรรมที่น่าสงสัยที่เกี่ยวข้องกับ
ของคุณ
เราขอแนะนำให้ผู้ใช้เพิกถอนการอนุมัติสำหรับ: 0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae
จนถึงขณะนี้มีการใช้เงินมากกว่า $8M จากผู้ใช้และส่วนใหญ่เป็น Stablecoins!…
— การแจ้งเตือน Cyvers (@CyversAlerts) วันที่ 16 กรกฎาคม 2024
ในฐานะนักลงทุน crypto ที่มีความรับผิดชอบ ฉันจะปฏิบัติตามคำเตือนของ Cyvers Alerts และเพิกถอนการอนุญาตใด ๆ ที่เกี่ยวข้องกับการโจมตีที่กำลังดำเนินอยู่ทันที ผู้ประสงค์ร้ายกำลังแลกเปลี่ยน USDC และ USDT เป็น ETH ดังนั้นการดำเนินการนี้อาจจำกัดการเปิดเผยของฉันต่อสถานการณ์ได้
Decurity บริษัทที่เชี่ยวชาญด้านความปลอดภัยของ crypto ให้ความกระจ่างเกี่ยวกับเหตุการณ์การหาประโยชน์ล่าสุด พวกเขาเปิดเผยว่ามีศูนย์กลางอยู่ที่สะพาน LI.FI และอ้างถึงสาเหตุว่าเป็นช่องโหว่ที่อาจเกิดขึ้นในฟังก์ชัน “depositToGasZipERC20” ของ GasZipFacet ซึ่งมีอายุเพียงห้าวัน
พูดง่ายๆ ก็คือ อันตรายที่อาจเกิดขึ้นที่เกี่ยวข้องกับเราเตอร์และการแลกเปลี่ยนข้ามสายโซ่ส่วนใหญ่จะเกี่ยวข้องกับการอนุมัติโทเค็น โทเค็นที่ไม่ได้ห่อไว้ เช่น Ethereum ดั้งเดิม (ETH) ไม่มีตัวเลือกการอนุมัติ ทำให้เสี่ยงต่อการถูกโจมตีจากการแฮ็กน้อยลง แนวปฏิบัติของการอนุมัติแบบไม่มีที่สิ้นสุด ซึ่งก่อนหน้านี้ทำให้สัญญาอัจฉริยะสามารถควบคุมการลบโทเค็นจำนวนเท่าใดก็ได้อย่างสมบูรณ์ ปัจจุบันถูกละทิ้งโดยผู้ใช้และกระเป๋าเงินเป็นส่วนใหญ่ ดังนั้นจึงเป็นเรื่องสำคัญสำหรับคุณที่จะต้องทราบถึงโทเค็นเฉพาะที่คุณอนุมัติให้โต้ตอบกับสัญญาเฉพาะ
จากประสบการณ์ที่กว้างขวางของฉันในพื้นที่ crypto และการทำงานร่วมกับกระเป๋าสตางค์และเครื่องมือตรวจสอบธุรกรรมต่างๆ ฉันสามารถบอกคุณได้ว่าแดชบอร์ดนี้ได้รับการออกแบบมาเพื่อระบุธุรกรรมที่เกี่ยวข้องกับเอนทิตีหรือโปรโตคอลเฉพาะที่เรียกว่า Lifi สำหรับผู้ใช้ทั้งหมด ไม่ใช่ทุกธุรกรรมเหล่านี้ที่มีความเสี่ยง แต่สิ่งสำคัญคือต้องตระหนักว่าการบูรณาการและชั้นของเทคโนโลยี เช่น วิธีที่สะพาน Metamask ใช้ Lifi บน Binance Smart Chain (BSC) สามารถเพิ่มความซับซ้อนให้กับวิธีที่ผู้ใช้จัดการสินทรัพย์และอาจทำให้ พวกเขาตกอยู่ในความเสี่ยง
มาตรการรักษาความปลอดภัยที่แนะนำอีกประการหนึ่งที่แนะนำโดย Carlos Mercado นักวิทยาศาสตร์ข้อมูลของ Flipside Crypto คือการสร้างที่อยู่สกุลเงินดิจิทัลใหม่เป็นระยะๆ โดยไม่มีการอนุมัติก่อนหน้านี้ การโอนโทเค็นของคุณไปยังที่อยู่ที่สร้างขึ้นใหม่ คุณกำลังใช้ระดับการรักษาความปลอดภัยเพิ่มเติมในกระเป๋าเงินดิจิทัลของคุณ
Exploit Mirrors ล่าสุด มีนาคม 2565 การโจมตี
การตรวจสอบเชิงลึกของ PeckShield เผยให้เห็นว่าช่องโหว่ที่ระบุนั้นมีความคล้ายคลึงกับการโจมตีโปรโตคอลของ LI.FI ก่อนหน้านี้ ซึ่งเกิดขึ้นเมื่อวันที่ 20 มีนาคม 2565 ในเหตุการณ์ก่อนหน้านี้ ผู้ไม่ประสงค์ดีสามารถใช้ประโยชน์จากสัญญาอัจฉริยะของ LI.FI ได้สำเร็จ โดยมุ่งเน้นไปที่ฟังก์ชันการแลกเปลี่ยน ก่อนที่จะโอนสินทรัพย์ที่ถูกขโมยไปยังบล็อกเชนอื่นผ่านการเชื่อมโยง
ผู้โจมตีพบวิธีที่จะหลอกระบบให้ดำเนินการสัญญาโทเค็นโดยตรงผ่านสัญญาของตนเอง ทำให้ผู้ใช้ได้รับอนุมัติอย่างไม่จำกัดถึงอันตรายที่อาจเกิดขึ้น การหลอกลวงนี้นำไปสู่การขโมยอีเธอร์ประมาณ 205 อีเธอร์จากกระเป๋าเงิน 29 ใบ ซึ่งส่งผลกระทบต่อโทเค็นต่าง ๆ รวมถึง USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT และ DAI
ในฐานะนักลงทุน crypto ที่ช่ำชอง ฉันอดไม่ได้ที่จะไตร่ตรองถึงความคล้ายคลึงกันระหว่างสถานการณ์ปัจจุบันและเหตุการณ์ในอดีต จากการแจ้งเตือนล่าสุดของ PeckShield ข้อบกพร่องที่พวกเขาระบุนั้นมีความคุ้นเคยเป็นอย่างดี เราได้เรียนรู้จากประสบการณ์ในอดีตอย่างแท้จริงหรือไม่
หลังจากเหตุการณ์ในปี 2022 LI.FI ได้หยุดฟังก์ชันการแลกเปลี่ยนทั้งหมดในสัญญาอัจฉริยะเป็นการชั่วคราว เพื่อปรับปรุงและป้องกันจุดอ่อนในอนาคต อย่างไรก็ตาม การเกิดขึ้นของช่องโหว่ที่คล้ายกันอีกประการหนึ่งทำให้เกิดข้อสงสัยในโปรโตคอลความปลอดภัยของแพลตฟอร์ม และคำถามว่ามีการนำมาตรการที่เพียงพอมาใช้เพื่อแก้ไขช่องโหว่ที่ถูกค้นพบในระหว่างการแฮ็กครั้งก่อนหรือไม่
LI.FI ทำหน้าที่เป็นแพลตฟอร์มแบบครบวงจรที่ทำให้ผู้ใช้สามารถดำเนินการซื้อขายบนเครือข่ายบล็อกเชน ตลาดซื้อขาย และโซลูชันการทำงานร่วมกันที่หลากหลาย
Sorry. No data so far.
2024-07-16 18:53