Проект Li Finance лишился $600 тыс клиентских денег из-за уязвимости DeFi-протокола

CryptoPro

Пользователи протокола Li Finance (LiFi) понесли убытки на сумму около $600 000, после того, как хакер воспользовался ошибкой в ​​смарт-контракте проекта. Большинству клиентов, которые понесли минимальные потери, убытки возместили

Агрегатор свопов Li Finance столкнулся с хакерской атакой, которая стала возможна из-за эксплойта смарт-контракта, что привело к потере средств из кошельков 29 клиентов.

Эксплойт был совершен в 2:51 (UTC) 20 марта. Злоумышленник смог вывести различное количество 10 токенов из кошельков, которые дали «неограниченный доступ» протоколу Li Finance. Среди украденных токенов были USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO), Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), AAVE (AAVE), Jarvis Reward Token (JRT) и DAI (DAI).

Когда команда узнала об эксплойте 12 часов спустя, в 14:15 (UTC), она отключила все функции обмена на платформе, чтобы предотвратить дальнейшие потери.

Спустя сутки, к 2:50 утра (UTC) 21 марта, команда опубликовала сообщение с подробным описанием событий эксплойта. Команда заявила, что злоумышленник обменял украденные токены на 205 ETH (около $600 000). На момент написания статьи средства все еще не были перемещены из кошелька злоумышленника. LiFi также заверил пользователей, что ошибка обнаружена и исправлена.

Из 29 кошельков, пострадавших в результате этой атаки, 25 возместили их убытки. Но на эти 25 кошельков приходилось только $80 000, или 13% от общей суммы убытков. С владельцами оставшихся четырех кошельков, которые потеряли в общей сложности $517 000, связались и предложили сделку, чтобы компенсировать им потери в качестве "бизнес-ангелов" в протоколе.

Они получат токены LiFi на тех же условиях, что и другие бизнес-ангелы, в сумме, равной их потерям из каждого кошелька. Это также помогло бы уменьшить ущерб, нанесенный бюджету платформы.

С хакером также связались и предложили вознаграждение за найденную уязвимость (Bug Bounty), если он согласится вернуть похищенные средства.

Похоже, атака произошла в очень неудачное время. Генеральный директор Li Finance Филипп Зентнер заявил Cointelegraph 21 марта, что «у нас осталась буквально неделя до проведения аудита», добавив, что «нас проверяют несколько компаний»

Scott Shelby

Вот как бы очередной случай, подтверждающий факт того, что до аудита - лучше не заходить на крупную сумму в проект, всего неделя осталась и возможно эту уязвимость смогли бы обнаружить ещё до того, как произошло всё это. Сумма в принципе не большая, интересно, сколько они предложили в качестве вознаграждения хакеру, если тот вернет - то что украл.

Gandler

@Scott-Shelby как-то они поздно проводят эти аудиты, что их успевают хакнуть. Запускают проект, обновы и без аудита своевременного. Но я считаю что со своей стороны они поступили максимально тактично и я уверен что крупные оставшиеся пользователи согласятся на эти условия.

Scott Shelby

@Gandler
Да думаю дело просто в самой специфике процедуры, это не очень быстрый процесс, нужно ведь всё тщательно проверить. В их ситуации остается надеяться, что хакер всё таки объявится.

Limon1986

Да в принципе это уже становится неудивительно, очередной Дефи проект взломан и украдены деньги - дырявые они все какие то.

Gandler

@Scott-Shelby ну вы бы положили деньги в банк, который работает уже пару месяцев и сообщает, что они вот-вот пройдут аудит на безопасность?)

У нас сейф картонный, но вы не переживайте, мы уже 2 месяца работает и нас никто не трогает, значит всё в порядке.)

Scott Shelby

@Gandler
Ну вот я как бы об этом выше и писал. Тащемта клиенты сами виноваты, что вкладывали в этот дырявый уязвимый проект ещё до аудита, думать надо было)

Gandler

@Scott-Shelby но раз возможность была вкладывать то и вкладывали, может не все знали что аудита ещё нет.

Scott Shelby

@Gandler
Ну я обычно на коинмаркете такую инфу смотрю, обычно там указано, кто аудитор и прочее, ну либо наверное на сайте самого проекта должна быть об этом инфа, если не было аудита, то и инфы соответственно тоже не было.

Gandler

@Scott-Shelby ну вот агрегаторы это вещь, всегда можно посмотреть инфу. А вы не знаете на коингеко кажется был раздел с историей сделок крупных компаний. Количество купленных биткоинов , их средняя цена и тд.

Scott Shelby

@Gandler
Такого не видел на коингеко, а в чём собственно разница между коинмаркетом и геко? Разве что бесит когда на геко заходишь - капчу просят вводить.

Gandler

@Scott-Shelby не знаю откуда они его выкапывают, но это по идеи скрин с CMC.

Scott Shelby

@Gandler
Не знал, что микростратеджи уже обогнали теслу. Представь что будет, если в один миг они сольют все свои биткоины, в биткоин потом уже обратно наверное никто не вернется)

Gandler

@Scott-Shelby судя по их количеству, то довольно давно уже обогнали. Не думаю что они так поступят, у них должна быть определённая планка после которой они плавно будут продавать и необязательно что на рынок. А если даже все сразу, то тут же найдутся те, кто будет откупать со дна.

CryptoMax

Может злоумышленником, укравшим деньги, как раз и оказался кто-то из сотрудников компаний, проводивших аудит?)

Scott Shelby

@Gandler
Возможно они ждут всеми ожидаемый прайс в 100к за биткоин, даже если плавно они будут его сливать, это всё равно найдет отражение на курсе.

Gandler

@Scott-Shelby скорей они это будут делать тогда когда курс устаканится на отметке скажем в 1 млн и рынок будет такой крупный что постепенное слитие не будет влиять на курс или будут продавать не на рынок.

CryptoMax

Пользователь @Gandler написал в Проект Li Finance лишился $600 тыс клиентских денег из-за уязвимости DeFi-протокола:

скорей они это будут делать тогда когда курс устаканится на отметке скажем в 1 млн и рынок будет такой крупный что постепенное слитие не будет влиять на курс или будут продавать не на рынок.

Этого можно и не дождаться в пределах одной жизни.) Уже сейчас крс достаточно вкусный, чтобы не сливать всю котлету, а менять частями чтобы хватало на красивую жизнь.

Gandler

@CryptoMax у таких компаний собственные долгоиграющие цели, они и без того хорошо жили, этого нам не понять, потому что мы только и мечтаем что о хорошей жизни.

Scott Shelby

@Gandler
Ты же сам понимаешь, что такая отметка ещё ой как далеко и сама компания может столько не просуществовать. Ну а так вполне возможно, ждут может действительно, когда рынок будет более объемным.