Una scappatoia in un contratto intelligente consente di prelevare $ 600.000 dal protocollo di finanziamento di Li.

L’aggregatore di swap Li Finance è stato vittima di un exploit di contratti intelligenti che ha comportato una perdita totale di circa $ 600.000 nei portafogli di 29 utenti.

L’exploit si è verificato alle 2:51 UTC di domenica. L’hacker è riuscito a penetrare nel protocollo Li Finance e ottenere “approvazione infinita”. Di conseguenza, l’hacker è stato in grado di drenare quantità variabili di 10 diversi token dai portafogli degli utenti.

Tra i token rubati ci sono USD Coin (USDC), Rocket Pool (RPL), Polygon (MATIC), Gnosis (GNO), Metaverse Index (MVI), Tetner (USDT), Audius (AUDIO), Jarvis Reward Token (JRT), AAVE (AAVE) e DAI (DAI).

Dopo aver appreso dell’exploit alle 14:15, 12 ore dopo, il team aveva chiuso tutte le funzioni di scambio sulla piattaforma con l’intenzione di prevenire ulteriori perdite.

Un’autopsia che descrive in dettaglio gli eventi dell’exploit è stata rilasciata dal team lunedì alle 2:50 UTC. Secondo il team, l’attaccante ha scambiato i token rubati con circa 205 Ether (ETH), per un valore di circa $ 600.000 all’epoca. Gli ETH rubati non sono stati ancora spostati dal portafoglio dell’attaccante.

Il team LiFi ha inoltre assicurato agli utenti che il bug è stato identificato e corretto.

25 dei 29 portafogli colpiti dall’attacco sono stati rimborsati dai fondi del Tesoro per le perdite subite. Tuttavia, i 25 portafogli rimborsati hanno rappresentato solo $ 80.000, ovvero il 13% del valore totale perso. I proprietari dei restanti quattro portafogli sono stati contattati e hanno offerto un accordo per risarcirli onorando le loro perdite come investitori angelici nel protocollo.