Giao thức blockchain đa chuỗi LI.FI vừa thông báo về một cuộc tấn công mạng tiềm ẩn, khiến cộng đồng tiền điện tử một lần nữa phải đối mặt với những lo ngại về bảo mật. Đội ngũ LI.FI đã xác nhận thông tin này trên nền tảng mạng xã hội X (trước đây là Twitter) và đang tiến hành điều tra.

Please do not interact with any https://t.co/nlZEnqOyQz powered applications for now!

We're investigating a potential exploit. If you did not set infinite approval, you are not at risk.

Only users that have manually set infinite approvals seem to be affected.

Revoke all…

— LI.FI (@lifiprotocol) July 16, 2024

Theo thông báo từ đội ngũ LI.FI, cuộc tấn công này dường như chỉ ảnh hưởng đến những người dùng đã tự thiết lập một số tính năng nhất định, đặc biệt là những người đã cấp quyền phê duyệt vô hạn. Công ty bảo mật mạng Decurity cho biết nguyên nhân gốc rễ có vẻ là "một lệnh gọi tùy ý với dữ liệu do người dùng kiểm soát" đến một hợp đồng gas được triển khai cách đây năm ngày để thanh toán phí blockchain trên Ethereum.

Cuộc tấn công này được cho là một biến thể của lỗ hổng "call injection", cho phép kẻ tấn công sử dụng các tham số trong mã gốc để thực hiện các giao dịch hợp pháp nhưng không mong muốn.

Mặc dù con số chính xác vẫn chưa được xác định, công ty bảo mật Certik ước tính tổng thiệt hại khoảng 9 triệu USD. Một ví điện tử chứa các quỹ bị rút ra hiện đang kiểm soát hơn 4 triệu USD bằng ETH và gần 200.000 USD bằng stablecoin DAI. Tuy nhiên, con số này có thể chưa phản ánh đầy đủ thiệt hại, vì các stablecoin USDT và USDC cũng đang rời khỏi nền tảng.

Đội ngũ LI.FI đã nhanh chóng phản ứng với sự cố này. Họ khuyến cáo người dùng không tương tác với bất kỳ ứng dụng nào được hỗ trợ bởi LI.FI trong thời điểm hiện tại. Ngoài ra, họ cũng kêu gọi tất cả người dùng sử dụng trang web thu hồi quyền của họ ngay lập tức, đồng thời cho biết đã phát hiện thêm 4 lỗ hổng bảo mật.

Người dùng có thể kiểm tra xem họ có bị ảnh hưởng hay không bằng cách truy cập scan.li.fi và có thể thu hồi quyền thông qua revoke.cash.

Đáng chú ý, công ty bảo mật Peckshield cho biết một cuộc tấn công tương tự đã xảy ra với LI.FI vào năm 2022. Sự kiện này một lần nữa nhấn mạnh những thách thức bảo mật đang diễn ra trong không gian blockchain và DeFi, đồng thời nhắc nhở người dùng về tầm quan trọng của việc duy trì cảnh giác và tuân thủ các khuyến nghị bảo mật.