Nach dem 11,6-Millionen-Dollar-Exploit des Li.Fi-Protokolls, einer API, die für die Überbrückung und den Austausch digitaler Vermögenswerte über Blockchains hinweg verwendet wird, veröffentlichte das Li.Fi-Team nun ein Update, in dem die technischen Details des Hacks erläutert werden.
Laut dem Sicherheitsupdate war die Bereitstellung einer neuen Smart-Contract-Funktion der Ausgangspunkt für den bösartigen Angriff. Eine Schwachstelle im Code ermöglichte es Nutzern, über den Smart Contract ohne vorherige Validierung Verbindung zu beliebigen Contracts herzustellen.
Diese Funktion stammt eigentlich aus Code aus der LibSwap-Bibliothek und dient dazu, den technischen Austausch zwischen dezentralen Börsen, Dienstleistern und Kunden zu erleichtern, um die Überbrückungs- und Tauschprozesse von Vermögenswerten zu koordinieren.
Normalerweise werden diese sogenannten Calls anhand von Adressen auf einer Whitelist überprüft, um eine Validierung sicherzustellen. Li.Fi erklärte jedoch, dass menschliches Versagen bei der Bereitstellung der fraglichen Smart-Contract-Funktion die Hauptursache für die von dem böswilligen Akteur ausgenutzte Schwachstelle war.
Das Li.Fi-Team bestätigte, dass der Angriff in den Ethereum- und Arbitrum-Netzwerken stattfand und 156 Wallets mit der aktivierten Option „unendliche Genehmigungen“ betroffen waren. Nutzer, die diese Option nicht aktiviert hatten, waren von dem Exploit nicht betroffen.
Gegenüber Cointelegraph erklärten Sprecher von Li.Fi, dass sie den Exploit inzwischen eingedämmt, die kritische Schwachstelle behoben und die zuständigen Strafverfolgungsbehörden kontaktiert haben, um gestohlene Gelder aufzuspüren. Zum Zeitpunkt der Erstellung dieses Artikels ist das Problem behoben und Li.Fi funktioniert normal
Nicht das erste Mal
Im März 2022 wurde Li.Fi bereits von einer ähnlichen Schwachstelle betroffen, die ebenfalls Nutzer mit aktivierter Option „unendliche Genehmigung“ betraf. Die Hacker erbeuteten 600.000 US-Dollar aus dem Protokoll von 29 Wallets, bevor die Sicherheitslücke geschlossen wurde.
Das Protokoll entschädigte die Krypto-Anleger schnell für ihre Verluste, indem es 24 Wallets direkt aus dem eigenen Vermögen zurückbezahlte und den verbleibenden fünf Wallets einen freiwilligen Entschädigungsplan anbot, ähnlich dem, den die frühen Angel-Investoren von Li.Fi erhielten.
Krypto-Hacks mehren sich
Leider wird die Kryptoindustrie und insbesondere der dezentrale Finanzsektor (DeFi) immer wieder von Hacks und Exploits geplagt.
Einem aktuellen Bericht des Sicherheitsunternehmens Cyvers zufolge belaufen sich die Verluste durch Krypto-Exploits im Jahr 2024 auf fast 1,4 Milliarden US-Dollar, vor allem durch Phishing-Angriffe, und sind seit 2023 stark angestiegen.
Melde dich bei unseren Sozialen Medien an, um nichts zu verpassen: X, YouTube, Instagram und Telegram – aktuelle Nachrichten, Analysen, Expertenmeinungen und Interviews mit Fokus auf die DACH-Region.
