Giao thức Li Finance vừa bị hacker “ghé thăm” và lấy đi khoảng 600.000 USD từ ví người dùng của họ. Được biết lỗ hổng khai thác nằm ở hợp đồng thông minh của dự án.
Cụ thể, giao thức tổng hợp hoán đổi Li Finance đã không may diễn ra sự việc hacker khai thác lỗ hổng về hợp đồng thông minh, khiến cho 29 ví người dùng của giao thức này bị thiệt hại khoảng 600.000 USD.
Sự việc hacker “ghé thăm” Li Finance diễn ra vào 2 giờ 51 phút sáng UTC ngày 20 tháng 3. Kẻ tấn công đã có thể trích xuất số lượng khác nhau của 10 token riêng biệt đến từ các ví, khiến giao thức Li Finance rơi vào trạng thái “chấp thuận vô hạn”.
Các token bị đánh cắp trong phi vụ này bao gồm: USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO), Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), AAVE (AAVE), Jarvis Reward Token (JRT), và DAI (DAI).
Li Finance đã làm gì?
Khi đội ngũ phát triển nắm được thông tin về vụ khai thác đã là 12 giờ sau (2 giờ 15 phút chiều UTC). Họ đã dừng tất cả chức năng hoán đổi trên nền tảng của mình, nhằm ngăn chặn bất cứ tổn thất nào thêm nữa.
Vào 2 giờ 50 sáng UTC ngày 21 tháng 3, đội ngũ phát triển đã điều tra nghiên cứu chi tiết vụ khai thác này. Họ cho biết, hacker đã hoán đổi các token bị đánh cắp với tổng cộng khoảng 205 Ether (ETH), trị giá khoảng 600.000 USD.
Cho đến hiện tại, số ETH bị đánh cắp chưa được được chuyển từ ví của hacker. LiFI cũng đảm bảo với người dùng rằng lỗ hổng đã được xác định và sửa chữa.
Được biết, đã có 25 trong số 29 ví người dùng bị thiệt hại được hoàn trả lại số tiền bị mất từ vụ khai thác. Tuy nhiên, 25 ví này chỉ chiếm 80.000 USD – tức 13% trên tổng giá trị bị đánh cắp.
Bốn người dùng còn lại, với thiệt hại tổng cộng 517,000 USD, đã được Li Finance liên hệ và đưa ra một thỏa thuận bồi thường cho họ, bằng cách vinh danh sự thiệt hại của họ như các nhà đầu tư thiên thần trong giao thức.
Kẻ tấn công cũng được liên hệ và cung cấp một bug bounty (khoản tiền thưởng do săn lỗi) để hoàn trả lại tiền.