Error humano en el exploit de LI.FI de $11.6 millones

Compartir este artículo

El protocolo de interoperabilidad LI.FI reveló que su reciente exploit fue causado por un vector de ataque de aprobación de tokens infinito. El 16 de julio de 2024, experimentó una violación de seguridad que resultó en el robo de aproximadamente $11.6 millones después de afectar a 153 carteras que usaron LI.FI para interactuar con las redes de Ethereum y Arbitrum.

La vulnerabilidad surgió poco después de la implementación de una nueva faceta de contrato inteligente, que fue deshabilitada por el equipo de LiFi en todas las cadenas para prevenir más accesos no autorizados.

Además, el exploit se originó por la falta de controles de validación en la nueva faceta, permitiendo a los atacantes realizar llamadas arbitrarias a cualquier contrato. La empresa atribuyó esto a «un error humano individual en la supervisión del proceso de despliegue».

Los activos drenados incluyeron USDC, USDT y DAI. LI.FI enfatizó que la vulnerabilidad solo afectó las aprobaciones infinitas, no las aprobaciones finitas, que es la configuración predeterminada en su API, SDK y widget.

Además, están trabajando con las fuerzas del orden y equipos de seguridad de la industria para rastrear y recuperar los fondos robados.

«LiFi, con el apoyo de sus principales inversores, está evaluando actualmente opciones para compensar completamente a los usuarios afectados lo antes posible,» declararon en el informe

En respuesta al incidente, LI.FI reiteró su compromiso con la seguridad, destacando medidas existentes como múltiples auditorías, retenciones mensuales de auditores, pruebas de penetración y recompensas por encontrar errores. La compañía también está comunicándose directamente con los titulares de carteras afectadas.

Subtítulo:
Vulnerabilidad en nueva faceta de contrato inteligente permitió acceso no autorizado a las carteras de usuarios con aprobaciones de tokens infinitos.

Compartir este artículo