LI.FI publicó un informe post-mortem del ataque de piratería contra el protocolo, que derivó en la pérdida de casi USD $12 millones en criptomonedas y afectó a más de 150 billeteras.
***
- El protocolo LI.FI publicó un informe post-mortem de ataque de piratería en su contra
- Culpó a un “error humano” de la explotación, que provocó pérdidas de casi USD $12 millones
- Indicó que más de 150 monederos se vieron afectados por el incidente
LI.FI, un popular protocolo de cadena de bloques cruzada, publicó un informe sobre el incidente de seguridad reciente, alegando que un “error humano” habría provocado la explotación que dejó pérdidas de más de USD $10 millones en criptomonedas.
En la publicación, el equipo de LI.FI detalló que la explotación surgió de la falta de comprobaciones de validación en la nueva faceta, lo que permitió al o los atacantes realizar llamadas arbitrarias a cualquier contrato. El equipo atribuyó esto a “un error humano individual al supervisar el proceso de implementación”.
“El 16 de julio de 2024, poco después de añadir una nueva faceta de contrato inteligente, el contrato LI.FI experimentó una brecha de seguridad. Una vulnerabilidad en esta faceta permitió al atacante obtener acceso no autorizado a las carteras de autocustodia de los usuarios que habían establecido la aprobación infinita de tokens para el contrato LI.FI“, detalla el informe.
El protocolo dijo que el ataque se produjo en las redes Ethereum y Arbitrum, afectando a 153 monederos de criptomonedas. Los activos sustraídos incluían las stablecoins USDC, USDT y DAI, mientras que la cantidad estimada de pérdidas ronda los USD $11,6 millones.
“Es importante señalar que la vulnerabilidad se limitó a aprobaciones infinitas y no afectó a aprobaciones finitas, que es la configuración predeterminada dentro de la API, el SDK y el widget de LI.FI“, agregaron en el informe.
Según la investigación, la vulnerabilidad surgió de un problema con la validación de transacciones a través de un problema con la forma en que el protocolo interactuaba con una biblioteca de código LibSwap, utilizada por múltiples intercambios descentralizados y otros protocolos DeFi, debido a “un error humano individual al supervisar el proceso de implementación”.
El equipo continuó explicando que pudieron detectar rápidamente la violación de seguridad, activando así un plan de respuesta a incidentes y deshabilitando con éxito el código defectuoso. “Esta acción contenía la amenaza e impedía cualquier acceso no autorizado adicional“, indicaron en la publicación de este jueves.
LI.FI aseguró que su principal preocupación ahora es ayudar en la recuperación de los fondos de los usuarios, y que está colaborando con las autoridades policiales y las empresas de seguridad web3 en ese frente.
El protocolo había alertado a sus usuarios el martes sobre el ataque, instando a la comunidad a no interactuar con ninguna aplicación de LI.FI, que permite a los usuarios operar a través de varias cadenas de bloques y está integrado en una serie de billeteras cripto. Un informe inicial había estimado pérdidas de USD $9 millones.
Puede que este no sea el único incidente de su tipo que sufre esa plataforma. La firma de seguridad PeckShield descubrió que el protocolo sufrió un ataque de piratería similar que resultó en una pérdida de USD $600.000 en 2022.
Artículo de Hannah Estefanía Pérez / DiarioBitcoin
Imagen de Unsplash
