Li.Fi выпускает отчет об инциденте после взлома на $11 млн.

После взлома на сумму $11,6 млн протокола Li.Fi, используемого для моста и обмена цифровыми активами между блокчейнами, команда Li.Fi выпустила обновление, описывающее технические детали атаки.

Согласно обновлению безопасности, развертывание нового смарт-контракта стало отправной точкой для злонамеренной атаки. Уязвимость в коде позволяла пользователям, вызывающим смарт-контракт, инициировать вызовы к любому контракту без предварительной проверки.

Эта функция является результатом кода, взятого из библиотеки LibSwap, которая используется для координации вызовов между децентрализованными биржами, поставщиками услуг и клиентами для осуществления процесса мостового и обменного процесса активов.

Обычно эти вызовы проверяются на наличие адресов из белого списка, чтобы обеспечить проверку. Однако команда Li.Fi объяснила, что человеческая ошибка при развертывании проблемного смарт-контракта стала причиной уязвимости, использованной злоумышленником.

Команда Li.Fi подтвердила, что атака произошла на сетях Ethereum и Arbitrum и затронула 156 кошельков с включенной опцией "аппрувом трат на неограниченную сумму". Пользователи без этой опции не пострадали от взлома.