Update 17. Juli, 14:00 Uhr CEST: Dieser Artikel wurde aktualisiert, um Zitate von Li.Fi aufzunehmen.
Li.Fi, eine API für Ethereum Virtual Machine und Solana Swaps und Bridging, wurde am 16. Juli angegriffen und es wurden über 10 Millionen US-Dollar in Kryptowährungen gestohlen.
Ein Sprecher von Li.Fi teilte Cointelegraph mit, dass der „Smart Contract Exploit“ eingedämmt und die „betroffene Smart Contract Facette deaktiviert“ wurde.
Der Sprecher erklärte, dass für die Benutzer kein weiteres Risiko bestehe und das Team mit den „zuständigen Strafverfolgungsbehörden und relevanten Drittparteien, einschließlich Sicherheitsteams der Branche, zusammenarbeitet, um die Gelder aufzuspüren.“
Laut Cyvers wurden die Systeme des Teams auf verdächtige Transaktionen auf Li.Fi auf einer bestimmten Vertragsadresse aufmerksam.
Cyvers empfahl den Benutzern, ihre Genehmigungen für die verdächtige Adresse zu widerrufen: 0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae.
Im Gespräch mit Cointelegraph erklärte Meir Dolev, Mitbegründer und Chief Technology Officer bei Cyvers, dass Protokolle wachsam sein müssen:
"Hacker können diese Genehmigungen ausnutzen, um sowohl die in den Verträgen aufbewahrten Vermögenswerte als auch die Gelder in den angeschlossenen Wallets der Nutzer abzuziehen."
Li.Fi Warnung
In einem X-Post am 16. Juli warnte Li.Fi seine Community, dass Nutzer bis auf weiteres nicht mit Li.Fi-basierten Anwendungen interagieren sollten.
Als der Angriff im Gange war, erklärte das Team, dass es den Exploit untersuche und es stellte klar, dass Benutzer, die "keine unendliche Genehmigung" eingestellt haben, nicht gefährdet seien.
Für Benutzer, die manuell unendliche Genehmigungen eingestellt haben, erklärte das Li.Fi-Team, dass die folgenden Adressen widerrufen werden sollten:
- 0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae
- 0x341e94069f53234fE6DabeF707aD424830525715
- 0xDE1E598b81620773454588B85D6b5D4eEC32573e
- 0x24ca98fB6972F5eE05f0dB00595c7f68D9FaFd68
Li.Fi informierte seine Nutzer in einem X-Post daraufhin, dass die Smart-Contract-Schwachstelle entschärft worden sei. "Es besteht derzeit kein weiteres Risiko für die Nutzer", heißt es in dem Beitrag. "Die einzigen Wallets, die betroffen waren, waren auf unendliche Genehmigungen eingestellt und das sind nur eine sehr kleine Anzahl von Nutzern."
10 Millionen US-Dollar verloren
Laut Cyvers wurden etwa 10 Millionen US-Dollar an Kryptowährungen gestohlen. Auch die Arbitrum-Blockchain war betroffen.
Dolev sagte Cointelegraph, "dieser Vorfall unterstreicht die Risiken, die mit der Erteilung von Wallet-Genehmigungen für Smart Contracts verbunden sind".
In einem X-Post empfahl Cyvers den Nutzern erneut, die Adresse 0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae zu widerrufen, um weitere Verluste zu verhindern.
Von Abflüssen zu Flash-Loan-Angriffen
Das dezentrale Finanzprotokoll Dough Finance wurde am 12. Juli Opfer eines Flash-Loan-Angriffs bei dem 1,8 Mio. US-Dollar gestohlen wurden.
Cyvers meldete den Vorfall und erklärte, dass der Angreifer das über das Zero-Knowledge-Protokoll Railgun finanzierte und die gestohlenen USD Coins gegen Ether tauschte.
Nach Angaben der Web3-Sicherheitsplattform Olympix resultierte der Exploit, bei dem 608 ETH im Wert von 1,8 Mio. US-Dollar aus nicht validierten Aufrufdaten mit dem "ConnectorDeleverageParaswap" gestohlen wurden.
Melde dich bei unseren Sozialen Medien an, um nichts zu verpassen: X, YouTube, Instagram und Telegram – aktuelle Nachrichten, Analysen, Expertenmeinungen und Interviews mit Fokus auf die DACH-Region.