Het blockchainprotocol LI.FI is slachtoffer geworden van een hack, waarbij naar schatting $9 miljoen is gestolen. Dit nieuws deelde het LI.FI-team op sociale media. De hack lijkt alleen gebruikers te treffen die bepaalde functies handmatig hebben ingesteld.

“Gebruik voorlopig geen LI.FI-toepassingen,” waarschuwde het LI.FI-team.

“We onderzoeken een mogelijke exploit. Als je geen onbeperkte goedkeuring hebt ingesteld, loop je geen risico.”

Het team roept alle gebruikers op om direct hun permissies in te trekken via hun speciale website. Ze hebben nog vier extra beveiligingslekken gevonden.

Gebruikers kunnen controleren of ze getroffen zijn door scan.li.fi te bezoeken en permissies in te trekken via revoke.cash.

Volgens beveiligingsbedrijf Decurity is de oorzaak van de hack een “willekeurige oproep met door de gebruiker gecontroleerde gegevens” naar een gascontract dat vijf dagen geleden is geïmplementeerd om blockchainkosten op Ethereum te betalen.

“De hacker maakte speciale gegevens met transferFrom()-oproepen en gebruikte deze om tokens van de brug te stelen,” legden Decurity-onderzoekers uit.

Deze aanval is een versie van de “call injection” exploit, waarbij aanvallers parameters in de oorspronkelijke code gebruiken om onverwachte, maar legitieme transacties uit te voeren. Dit soort kwetsbaarheid heeft eerder geleid tot het verlies van honderden miljoenen dollars aan crypto.

Een wallet met de gestolen fondsen bevat meer dan $4 miljoen aan ETH en bijna $200.000 aan DAI-stablecoins, volgens DeFi World. De totale schade wordt door beveiligingsbedrijf Certik geschat op ongeveer $9 miljoen, aangezien er ook USDT en USDC-stablecoins verdwijnen.

Beveiligingsbedrijf Peckshield meldde dat een soortgelijke aanval LI.FI in 2022 trof.