Li Finance 协议在最新的 DeFi 漏洞利用中损失了 60 万美元

据悉，LiFinance掉期聚合器经历了智能合约漏洞，导致29个用户的钱包损失了约600,000美元。

该漏洞发生在世界标准时间周日凌晨2点51分。攻击者能够从对LiFinance协议给予“无限批准”的钱包中提取不同数量的10种不同代币。被盗代币包括USDCoin(USDC)、Polygon(MATIC)、RocketPool(RPL)、Gnosis(GNO)、Tether(USDT)、MetaverseIndex(MVI)、Audius(AUDIO)、AAVE(AAVE)、JarvisReward代币(JRT)和DAI(DAI)。

当团队在12小时后的2:15pmUTC获悉该漏洞时，它关闭了平台上的所有交换功能，以防止任何进一步的损失。

周一UTC时间凌晨2:50，该团队发布了一份详细说明漏洞利用事件的验尸报告。该团队表示，攻击者将被盗代币换成总计约205个以太币（ETH），价值约60万美元。在撰写本文时，被盗的ETH尚未从攻击者的钱包中转移。LiFi还向用户保证，该错误已被识别和修补。

在这次攻击中被击中的29个钱包中，有25个已从国库基金中得到补偿。这25个钱包仅占80,000美元，占损失总额的13%。其余四个钱包的所有者共损失了517,000美元，并已与他们联系，并提出一项协议，以补偿他们作为协议中的天使投资者的损失。

他们将按照与其他天使投资者相同的条款获得LiFi代币，金额等于他们从每个钱包中损失的金额。这也将有助于减轻对平台金库的损害。

还联系了黑客并提供了漏洞赏金以返还资金。

这次袭击似乎发生在一个不幸的时刻。LiFinance首席执行官PhilippZentner周一告诉Cointelegraph，“我们离审计还有一周的时间”，并补充说“我们有多家公司在审计我们。”

然而，根据加密投资公司Paradigm的研究人员“Transmissions11”的说法，即使是对代码的彻底审计也可能没有发现这个特定的错误。他在周一的一条推文中解释说，LiFinance代码中的错误很容易被忽略，而且“如果你的心态不正确，就会很微妙”。

去中心化金融领域的最新黑客攻击展示了无限批准智能合约如何使用户的资金面临更大的风险。无限批准允许用户在去中心化交易所无限次交换硬币，而无需批准任何更多交易。