Portafogli

Li Finance: un hacker sfrutta una scappatoia e ruba $ 600.000

Un contratto meno intelligente del previsto – Questa domenica, 20 marzo 2022, una trentina di utenti del protocollo Li Finance hanno visto i loro fondi completamente sottratti. Sfruttando un bug nel codice dello smart contract di Li.Finance, l’hacker è riuscito a rubare quasi $ 600.000. Li Finance si scusa e spiega.

Una vulnerabilità nell’approvazione infinita di Li Finance

Un unico affare avrà consentito all’hacker di raggiungere il suo obiettivo e prendi quasi $ 600.000. L’aggregatore di scambio Li.Fi ha spiegato che l’attaccante ha approfittato di una scappatoia presente nel codice della caratteristica di approvazione infinita. Questa funzione consente agli utenti di ottimizzare e semplificare gli scambi: un’unica approvazione consente un numero illimitato di scambi.

Spiegazione precisa di come l'hacker ha hackerato Li Finance.
twitter @danielvf

Quindi, molti gettoni –USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT e DAI– con un valore totale di $ 587.500 sono stati sottratti 29 portafogli. L’hacker in fretta ha scambiato il suo bottino con 205 ETH, ancora presenti sull’indirizzo iniziale.

L'indirizzo dell'hacker in cui sono archiviati i fondi rubati.

>> Stai cercando un posto sicuro per le tue transazioni crittografiche? Imbarcati sulla piattaforma di benchmark FTX (link di affiliazione) <

Li Finance pubblica il suo mea culpa

Quando i team di Li Finance si sono resi conto di cosa era successo, era ovviamente troppo tardi. Dopo un’analisi puntuale della situazione, è stata individuata la vulnerabilità e si è potuta mettere in atto un’adeguata correzione. Li Finance dichiara di aver risarcito quanto prima 26 dei 29 portafogli interessatiche rappresentano $ 200.000. Sono in corso le trattative per la compensazione degli ultimi tre portafogli. In effeti, solo questi ultimi portafogli hanno un valore di circa $ 400.000che secondo Li Finance arrecherebbe gravi danni al tesoro della società. Pertanto, è stato proposto di trasformare i fondi persi in un “investimento angelo” che permetterebbe alle vittime di diventare attori attivi nella struttura.

Messaggio rivolto alle vittime, chiedendo un contatto con Li Finance a seguito dell'hacking.

Infine, Li Finance annuncia di aver contattato l’hacker per discutere di un potenziale accordo, ma sembra proprio di sì il silenzio radio persiste :

Abbiamo contattato l’attaccante e non abbiamo ricevuto alcuna risposta al momento della stesura di questo post mortem. Se stai leggendo questo, saremmo estremamente grati di fornire una generosa ricompensa e ci impegniamo a non divulgare alcuna informazione sulla tua identità. »

blog.li.finanzae

Questo ennesimo hack nel mondo della finanza decentralizzata ricorda che è fondamentale tenere gli occhi ben aperti quando si autorizza qualsiasi transazione. Se la funzione di approvazione infinita sembra avere alcuni vantaggi, sembra –dopo– che il gioco non vale necessariamente la candela.

Che tu ci creda o no, nonostante questa brutta notizia, puoi tranquillamente esporti a Bitcoin! Registrati senza indugio sulla piattaforma di scambio di criptovalute di riferimento FTX e beneficia di uno sconto a vita sulle tue commissioni di trading (link affiliato, vedi condizioni sul sito ufficiale).

About the author

michaelkorsoutlet

Leave a Comment