El último exploit de DeFi afectó al protocolo Li Finance, ocasionándole pérdidas de USD 600,000

　　Brian Newar hace 13 minutos El último exploit de DeFi afectó al protocolo Li Finance, ocasionándole pérdidas de USD 600,000

　　Los usuarios del protocolo Li Finance sufrieron pérdidas valoradas en unos USD 600,000. Algunos de ellos han sido reembolsados después de que un hacker explotara un fallo en el contrato inteligente del proyecto.

　　15 Vistas totales

　　Noticias

　　El agregador de swaps Li Finance ha sufrido un exploit de contratos inteligentes que ha provocado la pérdida de unos USD 600,000 de los monederos de 29 usuarios.

　　El exploit tuvo lugar a las 2:51 am UTC del domingo. El atacante pudo extraer diversas cantidades de 10 tokens diferentes de monederos que habían dado “aprobación infinita” al protocolo de Li Finance. Entre los tokens robados estaban USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO), Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), AAVE (AAVE), Jarvis Reward Token (JRT) y DAI (DAI).

　　TLDR:n• ~$600K have been stolen from 29 walletsn• User dont have to do anythingn• Bug has been fixed and is already deployedhttps://t.co/fqOxJxDrZs

　　— LI.FI - Any-2-Any Swaps (,) (@lifiprotocol) March 21, 2022

　　TLDR:n- Se han robado ~USD 600,000 de 29 monederosn- El usuario no tiene que hacer nadan- El error ha sido corregido y ya está desplegada la solución

• 　　El regulador australiano de la competencia toma acciones legales contra Meta por los falsos anuncios de criptomonedas

　　Cuando el equipo se enteró del exploit 12 horas después, a las 2:15 pm UTC, cerró todas las funciones de swap en la plataforma para evitar más pérdidas.

　　A las 2:50 am UTC del lunes, el equipo había emitido un post mortem detallando los eventos del exploit. El equipo dijo que el atacante intercambió los tokens robados por un total de unos 205 Ether (ETH) valorados en unos USD 600,000. En el momento de escribir este artículo, los ETH robados aún no se habían retirado del monedero del atacante. LiFi también les aseguró a sus usuarios que el fallo ha sido identificado y parcheado.

　　Todays LiFi hack happed because its internal swap() function would call out to any address using whatever message the attacker passed in. This allowed the attacker to have the contract transferFrom() out the funds from anyone who had approved the contract. pic.twitter.com/NA3xW7ReUd

　　— Daniel Von Fange (@danielvf) March 20, 2022

　　El hackeo de hoy de LiFi se produjo porque su función interna swap() llamaba a cualquier dirección utilizando cualquier mensaje que el atacante pasara. Esto le permitió al atacante hacer que el contrato transferFrom() sacara los fondos de cualquiera que hubiera aprobado el contrato

• 　　Malware que roba Bitcoin: un recordatorio para que los usuarios de criptomonedas se mantengan alerta

　　De los 29 monederos que fueron atacados en este ataque, 25 han sido reembolsados de los fondos del tesoro por sus pérdidas. Esos 25 monederos solo representaron USD 80,000, o el 13% del valor total perdido. Se ha contactado con los propietarios de los cuatro monederos restantes, que perdieron un total de USD 517,000, y se les ha ofrecido un acuerdo para compensar sus pérdidas como inversores ángeles en el protocolo.

　　Recibirían tokens LiFi bajo los mismos términos que otros inversores ángeles en una cantidad igual a sus pérdidas de cada monedero. Esto también ayudaría a mitigar el daño a la tesorería de la plataforma.

　　También se contactó con el hacker y se le ofreció una recompensa por errores para que devolviera los fondos.

　　También se contactó con el hacker y se le ofreció una recompensa por errores para que devolviera los fondos

• 　　Advertencia: Cómo los bots de contraseñas de un solo uso pueden robar tus criptomonedas

　　El ataque parece haber llegado en un momento desafortunado. El CEO de Li Finance, Philipp Zentner, le dijo a Cointelegraph el lunes que “estamos literalmente a una semana de nuestra auditoría”, y añadió que “tenemos múltiples compañías auditándonos”

　　Sin embargo, incluso una auditoría exhaustiva del código puede no haber detectado este fallo en particular, según un investigador “Transmissions11” de la firma de inversión en criptomonedas Paradigm. Explicó en un tweet del lunes que el error en el código de Li Finance era fácil de pasar por alto y “sutil si no tienes la mentalidad correcta”.

　　Este último hackeo en el sector de las finanzas descentralizadas demuestra cómo darles aprobaciones infinitas a los contratos inteligentes abre los fondos de un usuario a una mayor cantidad de riesgo. Las aprobaciones infinitas les permiten a los usuarios intercambiar monedas en un exchange descentralizado una cantidad ilimitada de veces sin necesidad de aprobar más transacciones.

　　Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión