数年の経験を持つベテランの暗号投資家として、LI.FIプロトコルの最新のエクスプロイトについて聞いたとき、私は失望とフラストレーションの激痛を感じずにはいられません。 2022 年 3 月に以前に特定され、対処されたと思われる同様の脆弱性を通じて、800 万ドルを超えるユーザー資金が盗まれており、歴史が繰り返されるのを見るのは残念です。
分散型金融(DeFi)プラットフォームLI.FIプロトコルから800万ドル以上の資産が不正に持ち出された。
LI.FI クロスチェーン トランザクション アグリゲーターには、Cyvers Alerts によって特定されたいくつかの不審なトランザクションがありました。
LI.FI、800万ドル悪用後に警告を発行
「7 月 16 日、LI.FI は、X を介してシステムに脆弱性の疑いがあることを認め、当面の間、LI.FI を利用したアプリケーションを使用しないようユーザーに呼びかけました。この問題は、手動で無限の承認を設定したユーザーにのみ影響することが明らかになりました」つまり、この措置を講じなかったユーザーは危険にさらされていません。」
現時点では、パワード アプリケーションを操作しないでください。
私たちは潜在的なエクスプロイトを調査しています。無限の承認を設定していない場合は、危険にさらされることはありません。
手動で無限の承認を設定したユーザーのみが影響を受けるようです。
すべてを取り消します…
— LI.FI (@lifiprotocol) 2024 年 7 月 16 日
Cybers Alerts の報告書によると、800 万ドルを超えるユーザー資金が盗まれており、その大部分はステーブルコインでした。オンチェーン情報によると、犯人のウォレットには、USDC、USDT、DAI ステーブルコインとともに、約 580 万ドル相当の約 1,715 イーサ (ETH) が含まれています。
ALERT@lifiprotocol、当社のシステムにより、お客様に関わる不審な取引が発生しました。
ユーザーは次の承認を取り消すことをお勧めします: 0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae
これまでにユーザーから 800 万ドル以上が流出しており、そのほとんどがステーブルコインです。…
— Cyvers Alerts (@CyversAlerts) 2024 年 7 月 16 日
責任ある仮想通貨投資家として、私はCyvers Alertsの警告に留意し、進行中の攻撃に関連するあらゆる認可を直ちに取り消すつもりです。悪意のある攻撃者は現在、USDC と USDT を ETH と交換しているため、このアクションを実行すると、私がこの状況にさらされる可能性が制限される可能性があります。
暗号通貨セキュリティを専門とする企業である Decurity は、最近のエクスプロイト事件に光を当てました。彼らは、この問題の中心が LI.FI ブリッジであることを明らかにし、その原因として、誕生からわずか 5 日の GasZipFacet の「depositToGasZipERC20」機能の潜在的な脆弱性を挙げました。
より簡単に言うと、ルーターとクロスチェーン スワップに関連する潜在的な危険は、主にトークンの承認を中心に展開します。ネイティブ イーサリアム (ETH) など、ラップされていないトークンには承認オプションがないため、ハッキング攻撃に対する脆弱性が低くなります。以前はスマートコントラクトが任意の量のトークンの削除を完全に制御できていた無限承認の慣行は、現在ではユーザーとウォレットによってほとんど放棄されています。したがって、特定のコントラクトとやり取りするために承認している特定のトークンを認識することが重要です。
暗号通貨分野での幅広い経験と、さまざまなウォレットやトランザクション監視ツールを使用した経験に基づいて、このダッシュボードは、すべてのユーザーの Lifi と呼ばれる特定のエンティティまたはプロトコルに関係するトランザクションを識別するように設計されていると言えます。これらの取引のすべてがリスクを引き起こすわけではありませんが、メタマスクブリッジがバイナンススマートチェーン(BSC)でLifiを利用する方法など、テクノロジーの統合とレイヤーによって、ユーザーが資産を管理し、潜在的に彼らは危険にさらされています。
Flipside Crypto のデータ サイエンティストである Carlos Mercado 氏が提案したもう 1 つの推奨セキュリティ対策は、事前の承認なしに新しい暗号通貨アドレスを定期的に作成することです。新しく生成されたアドレスにトークンを転送することで、デジタル ウォレットに追加のセキュリティ層を実装することになります。
最近のエクスプロイトミラー 2022 年 3 月の攻撃
PeckShield の詳細な調査により、特定された脆弱性が 2022 年 3 月 20 日に発生した LI.FI のプロトコルに対する以前の攻撃に類似していることが判明しました。この以前のインシデントでは、悪意のある攻撃者がスワッピング機能に焦点を当てて LI.FI のスマート コントラクトを悪用することに成功しました。 、ブリッジングを通じて盗まれた資産を別のブロックチェーンに転送する前に。
攻撃者は、システムを騙して自身の契約を通じて直接トークン契約を実行させ、無制限の承認を得ているユーザーを潜在的な危害にさらす方法を発見しました。この欺瞞により、29 のウォレットから約 205 イーサが盗難され、USDC、MATIC、RPL、GNO、USDT、MVI、AUDIO、AAVE、JRT、DAI などのさまざまなトークンに影響を与えました。
経験豊富な仮想通貨投資家として、私は現在の状況と過去の事件の類似点を考えずにはいられません。 PeckShield の最近の警告によると、彼らが特定したバグは非常によく知られたものです。では、私たちは過去の経験から本当に学んだのでしょうか?
2022年のインシデント後、LI.FIは改善に取り組み、将来の弱点を防ぐために、スマートコントラクト内のすべてのスワップ機能を一時的に停止しました。しかし、別の同様のエクスプロイトの出現により、プラットフォームのセキュリティ プロトコルに疑問が生じ、前回のハッキングで明らかになった脆弱性に対処するための十分な対策が講じられていたかどうか疑問が生じています。
LI.FI は、ユーザーが複数のブロックチェーン ネットワーク、マーケットプレイス、相互運用性ソリューションで取引を実行できるようにする統合プラットフォームとして機能します。
- BTC JPY 予想・見通し・の予想. BTC 暗号通貨
- BLAST 予想・見通し・の予想. BLAST 暗号通貨
- FOXY 予想・見通し・の予想. FOXY 暗号通貨
- PORT3/USD
- XAI 予想・見通し・の予想. XAI 暗号通貨
- USD PHP 予想・見通し・の予想
- UNFI/USD
- METAL/USD
- SHU/USD
- ショーン・メンデス、次作アルバム「WATCH」からシングル「Why Why Why」のエモーショナルなミュージックビデオを公開
2024-07-16 18:53