2024-07-17 11:47:10
区块链安全机构CyversAlerts昨(16)日稍晚在X上警告,其系统监测到跨链交易聚合平台LI.FI疑似遭遇骇客攻击,受影响的用户资金超过了800万美元,建议用户赶快撤销钱包授权:“警报!LI.FI,我们的系统已经提交了有关你们协议的可疑交易,我们建议用户赶快撤销对以下地址的授权:0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae。到目前为止,用户资金已经流失了超过800万美元,其中大部分是稳定币!攻击者已经将USDC、USDT兑换为ETH。”
在随后的更新中,CyversAlerts再发现LI.FI在以太坊L2网络Arbitrum上存在更多可疑交易,初步统计下来,上调灾情损失共计达到了1,000万美元。
LI.FI:正在调查漏洞
收到警报后,LI.FI官方也迅速发文对此做出回应,表示正在调查可能存在的安全漏洞,并建议用户暂时不要使用任何由LI.FI驱动的应用程式,同时撤销对相关地址的所有授权。
小心钓鱼链接
另外提醒,社群上已开始有恶意人士假借官方身份来提供撤销授权的假钓鱼链接,请务必小心谨慎不要上当。
假借官方的钓鱼链接
派盾:此次攻击与两年前的类似
但令社群愤怒的是,安全机构派盾(PeckShield)在分析LI.FI遭遇的此次攻击时指出,LI.FI在2022年3月遭到攻击时,当时的漏洞与此次受攻击的漏洞基本相同:“在分析今天的骇客攻击时,我们注意到2022年3月20日骇客对LI.FI发起的一次攻击。这两次的漏洞基本是一样的。我们从过去的教训中学到了什么?”
派盾的分析一时引起社群成员的猜疑,有人认为这次的攻击是LI.FI自导自演,因为该漏洞早在2022年就存在,为什么到现在还没能修复?也有人认为,按照以往经验,此次攻击也有可能是LI.FI内部员工发起的…不过,目前LI.FI尚未对此次攻击的调查结果进行详细披露,事情究竟如何还有待时间观察。
2022年3月,LI.FI遭到骇客攻击,骇客透过LI.FI让用户钱包授权某些代币的呼叫权限,从多个钱包中盗取了当时价值60万美元的ETH。
LI.FI是什么?
LI.FI过去名为Li.Finance,是一个跨链交易聚合平台。简单来说,LI.FI的功能就是在多个跨链桥和区块链之间寻找最优的交易路径。依据LI.FI创办人的说法,LI.FI的终极目标不仅是提供一个优化交易体验的产品,而是可以成为未来所有DApp的通用协议。
据LI.FI官网资讯,目前与LI.FI交互的应用包括多个知名Dapp,其中就有加密货币钱包MetaMask、币安交易所Web3钱包、NFT交易平台OpenSea…
LI.FI官方更新:智能合约漏洞已被遏制
LI.FI官方于昨晚23:45发布推文表示,目前受攻击的漏洞已经得到遏制,受到影响的智能合约部分也被禁用,用户的资金已处于安全状态:“今日早些时候发生的智能合约漏洞已被遏制,受影响的智能合约部分已被禁用。目前用户不再面临风险。受影响的钱包仅限于设置了无限授权的钱包,且数量非常少。我们正在与适当的执法机构和相关第三方(包括来自行业的安全团队)合作,以追踪被盗资金。团队将尽快发布更详细的事后分析。”
3341