Conclusiones clave
- LiFi experimentó un hackeo de 11,6 millones de dólares debido a una vulnerabilidad en una faceta de contrato inteligente recientemente implementada.
- La empresa planea compensar a los usuarios afectados y está trabajando con las autoridades para recuperar los fondos robados.
Comparte este artículo
Protocolo de interoperabilidad LI.FI reveló que su reciente exploit fue causado por un vector de ataque de aprobación de token infinito. El 16 de julio de 2024, experimentó una violación de seguridad que resultó en el robo de aproximadamente $11,6 millones después de afectar 153 billeteras que usaban LI.FI para interactuar con las redes Ethereum y Arbitrum.
La vulnerabilidad surgió poco después del despliegue de una nueva faceta de contrato inteligente, que fue desactivada por el equipo de LiFi en todas las cadenas para evitar más accesos no autorizados.
Además, el exploit se debió a la falta de controles de validación en la nueva faceta, lo que permitió a los atacantes realizar llamadas arbitrarias a cualquier contrato. La empresa atribuyó esto a “un error humano individual al supervisar el proceso de implementación”.
Los activos drenados incluyeron USDC, USDT y DAI. LI.FI enfatizó que la vulnerabilidad solo afectó a las aprobaciones infinitas, no a las finitas, que es la configuración predeterminada en su API, SDK y widget.
Además, están trabajando con las fuerzas del orden y los equipos de seguridad de la industria para rastrear y recuperar los fondos robados.
“LiFi, con el respaldo de sus principales inversores, está evaluando actualmente opciones para compensar completamente a los usuarios afectados lo antes posible”, afirman en el informe.
En respuesta al incidente, LI.FI reiteró su compromiso con la seguridad y destacó las medidas existentes, como auditorías múltiples, contratos mensuales de auditores, pruebas de penetración y recompensas por errores. La compañía también se está comunicando con los titulares de billeteras afectados para una comunicación directa.
Comparte este artículo