Die zentralen Thesen
- Durch den Exploit des Li.Fi-Protokolls wurden fast 10 Millionen US-Dollar verloren, was sich auf Benutzer mit unbegrenzten Genehmigungen auswirkte.
- Experten vermuten einen Call-Injection-Angriff und fordern die Benutzer auf, die Freigaben sofort zu widerrufen.
Das Interoperabilitätsprotokoll Li.fi warnte die Benutzer davor, mit Anwendungen zu interagieren, die ihre Infrastruktur nutzen, da diese Untersuchung ein möglicher Exploit ist im Gange. Nur Benutzer, die manuell unbegrenzte Freigaben festgelegt haben, scheinen betroffen zu sein.
„Widerruf aller Genehmigungen für:
0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae
0x341e94069f53234fE6DabeF707aD424830525715
0xDE1E598b81620773454588B85D6b5D4eEC32573e
0x24ca98fB6972F5eE05f0dB00595c7f68D9FaFd68”
Bitte interagieren Sie derzeit nicht mit Anwendungen, die auf https://t.co/nlZEnqOyQz basieren! Wir untersuchen einen möglichen Exploit. Wenn Sie keine unbegrenzte Freigabe festgelegt haben, besteht für Sie kein Risiko.
Betroffen scheinen nur Benutzer zu sein, die manuell unbegrenzte Freigaben festgelegt haben.
Alles widerrufen…
— LI.FI (@lifiprotocol) 16. Juli 2024
Der Erster Bericht Ein möglicher Exploit wurde von einem Benutzer auf X, der als Sudo identifiziert wurde, angegeben, der betonte, dass fast 10 Millionen Dollar aus dem Protokoll abgezogen wurden. Ein anderer X-Benutzer, der als Wazz identifiziert wurde wies darauf hin dass das Web3-Wallet Rabby Li.fi als integrierte Brücke implementiert hat und Benutzer warnt, ihre Berechtigungen zu überprüfen und zu widerrufen. Bemerkenswerterweise ist auch die Jumper Exchange eine bekannte Anwendung, die Li.fi-Dienste nutzt.
Darüber hinaus nach dem Blockchain-Sicherheitsunternehmen CertiK geteilt auf X der laufende Exploit, der Benutzer identifizierte sich als Nick L. Franklin behauptet dass es sich wahrscheinlich um einen „Call-Injection“-Angriff handelt. Bei einem Call-Injection-Angriff wird auf der Clientseite der Anwendung ein Funktionsnamenparameter aus dem Originalcode eingefügt, um eine beliebige legitime Funktion aus dem Code auszuführen.
„Oh, Anrufeinfügung! Lange nicht gesehen. Die „Swap“-Funktion hat Anrufziel und Anrufdaten nicht überprüft. Aus diesem Grund haben Benutzer, die 0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae genehmigt haben, ihre Token verloren. Die Genehmigung muss so schnell wie möglich widerrufen werden! Außerdem hat der Lifi-Router diese Implementierung erst kürzlich eingerichtet“, sagte Nick.