Проект Li Finance лишился $600 тыс клиентских денег из-за уязвимости DeFi-протокола
Пользователи протокола Li Finance (LiFi) понесли убытки на сумму около $600 000, после того, как хакер воспользовался ошибкой в смарт-контракте проекта. Большинству клиентов, которые понесли минимальные потери, убытки возместили
Агрегатор свопов Li Finance столкнулся с хакерской атакой, которая стала возможна из-за эксплойта смарт-контракта, что привело к потере средств из кошельков 29 клиентов.
Эксплойт был совершен в 2:51 (UTC) 20 марта. Злоумышленник смог вывести различное количество 10 токенов из кошельков, которые дали «неограниченный доступ» протоколу Li Finance. Среди украденных токенов были USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO), Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), AAVE (AAVE), Jarvis Reward Token (JRT) и DAI (DAI).
Когда команда узнала об эксплойте 12 часов спустя, в 14:15 (UTC), она отключила все функции обмена на платформе, чтобы предотвратить дальнейшие потери.
Спустя сутки, к 2:50 утра (UTC) 21 марта, команда опубликовала сообщение с подробным описанием событий эксплойта. Команда заявила, что злоумышленник обменял украденные токены на 205 ETH (около $600 000). На момент написания статьи средства все еще не были перемещены из кошелька злоумышленника. LiFi также заверил пользователей, что ошибка обнаружена и исправлена.
Из 29 кошельков, пострадавших в результате этой атаки, 25 возместили их убытки. Но на эти 25 кошельков приходилось только $80 000, или 13% от общей суммы убытков. С владельцами оставшихся четырех кошельков, которые потеряли в общей сложности $517 000, связались и предложили сделку, чтобы компенсировать им потери в качестве «бизнес-ангелов» в протоколе.
Они получат токены LiFi на тех же условиях, что и другие бизнес-ангелы, в сумме, равной их потерям из каждого кошелька. Это также помогло бы уменьшить ущерб, нанесенный бюджету платформы.
С хакером также связались и предложили вознаграждение за найденную уязвимость (Bug Bounty), если он согласится вернуть похищенные средства.
Похоже, атака произошла в очень неудачное время. Генеральный директор Li Finance Филипп Зентнер заявил Cointelegraph 21 марта, что «у нас осталась буквально неделя до проведения аудита», добавив, что «нас проверяют несколько компаний»
или использовать другой более современный.