Команда кроссчейн-протокола LI.FI поделилась подробностями взлома, в результате которого пользователи потеряли $11,6 млн в стейблкоинах USDC, USDT и DAI. Post-mortem and next steps for @lifiprotocol partners and community:https://t.co/H4EEiLAHEc pic.twitter.com/TZmx0VtLxo— LI.FI (@lifiprotocol) July 18, 2024 Согласно заявлению, эксплойт произошел вскоре после развертывания нового аспекта смарт-контракта. «Уязвимость возникла из-за того, что вызывающие стороны контракта могли совершать произвольные вызовы без проверки. Эта возможность была предоставлена библиотекой LibSwap, которая облегчает взаимодействие с несколькими DEX, сборщиками платежей и другими субъектами перед соединением или отправкой средств», — говорится в заявлении. Из-за «индивидуальной человеческой ошибки» в контракте отсутствовала верификация одобренных адресов и функций по белому списку, пояснили разработчики. Атака произошла в сетях Ethereum и Arbitrum, затронув 153 кошелька. Пострадали только пользователи с включенным перманентным одобрением, которое не является настройкой по умолчанию в API, SDK и виджете LI.FI, подчеркнула команда. «Наш главный приоритет — восстановление активов пользователей. Мы продолжаем взаимодействовать с правоохранительными органами и соответствующими третьими лицами, включая отраслевых специалистов по безопасности, чтобы отследить и вернуть украденные средства», — заявили разработчики. В проекте оценивают возможность выплаты пострадавшим полной компенсации «как можно скорее». Напомним, 18 июля индийская криптобиржа WazirX потеряла в результате взлома $235 млн в цифровых активах. Эксперты Elliptic пришли у выводу, что за атакой стоят северокорейские хакеры.