El agregador de swaps Li Finance ha sufrido un exploit de contratos inteligentes que ha provocado la pérdida de unos USD 600,000 de los monederos de 29 usuarios.

El exploit tuvo lugar a las 2:51 am UTC del domingo. El atacante pudo extraer diversas cantidades de 10 tokens diferentes de monederos que habían dado "aprobación infinita" al protocolo de Li Finance. Entre los tokens robados estaban USD Coin (USDC), Polygon (MATIC), Rocket Pool (RPL), Gnosis (GNO), Tether (USDT), Metaverse Index (MVI), Audius (AUDIO), AAVE (AAVE), Jarvis Reward Token (JRT) y DAI (DAI).

Cuando el equipo se enteró del exploit 12 horas después, a las 2:15 pm UTC, cerró todas las funciones de swap en la plataforma para evitar más pérdidas.

A las 2:50 am UTC del lunes, el equipo había emitido un post mortem detallando los eventos del exploit. El equipo dijo que el atacante intercambió los tokens robados por un total de unos 205 Ether (ETH) valorados en unos USD 600,000. En el momento de escribir este artículo, los ETH robados aún no se habían retirado del monedero del atacante. LiFi también les aseguró a sus usuarios que el fallo ha sido identificado y parcheado.

De los 29 monederos que fueron atacados en este ataque, 25 han sido reembolsados de los fondos del tesoro por sus pérdidas. Esos 25 monederos solo representaron USD 80,000, o el 13% del valor total perdido. Se ha contactado con los propietarios de los cuatro monederos restantes, que perdieron un total de USD 517,000, y se les ha ofrecido un acuerdo para compensar sus pérdidas como inversores ángeles en el protocolo.

Recibirían tokens LiFi bajo los mismos términos que otros inversores ángeles en una cantidad igual a sus pérdidas de cada monedero. Esto también ayudaría a mitigar el daño a la tesorería de la plataforma.

También se contactó con el hacker y se le ofreció una recompensa por errores para que devolviera los fondos.

También se contactó con el hacker y se le ofreció una recompensa por errores para que devolviera los fondos

El ataque parece haber llegado en un momento desafortunado. El CEO de Li Finance, Philipp Zentner, le dijo a Cointelegraph el lunes que "estamos literalmente a una semana de nuestra auditoría", y añadió que "tenemos múltiples compañías auditándonos"

Sin embargo, incluso una auditoría exhaustiva del código puede no haber detectado este fallo en particular, según un investigador "Transmissions11" de la firma de inversión en criptomonedas Paradigm. Explicó en un tweet del lunes que el error en el código de Li Finance era fácil de pasar por alto y "sutil si no tienes la mentalidad correcta".

Este último hackeo en el sector de las finanzas descentralizadas demuestra cómo darles aprobaciones infinitas a los contratos inteligentes abre los fondos de un usuario a una mayor cantidad de riesgo. Las aprobaciones infinitas les permiten a los usuarios intercambiar monedas en un exchange descentralizado una cantidad ilimitada de veces sin necesidad de aprobar más transacciones.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión

Sigue leyendo: