Tras el exploit de USD 11.6 millones del protocolo Li.Fi, un API utilizado para conectar y cambiar activos digitales entre blockchains, el equipo de Li.Fi publicó una actualización detallando los aspectos técnicos de la brecha.
Según la actualización de seguridad, el despliegue de una nueva faceta de contrato inteligente fue el punto de partida para el ataque malicioso. Una vulnerabilidad en el código permitió a los usuarios que llamaban al contrato inteligente iniciar llamadas a cualquier contrato sin una validación previa.
Esta función es el resultado de código tomado de la biblioteca LibSwap, utilizada para facilitar llamadas entre exchanges descentralizados, proveedores de servicios y clientes para coordinar los procesos de puenteo y cambio de activos.
Normalmente, estas llamadas se revisan contra direcciones en la lista blanca para garantizar su validación. Sin embargo, Li.Fi explicó que el error humano en el despliegue de la faceta del contrato inteligente ofensivo fue la causa raíz de la vulnerabilidad explotada por el actor malicioso.
El equipo de Li.Fi confirmó que el ataque ocurrió en las redes Ethereum y Arbitrum y afectó a 156 billeteras con la opción de “aprobaciones infinitas” activada. Los usuarios sin esta opción activada no fueron afectados por el exploit.
En declaraciones a Cointelegraph, los portavoces de Li.Fi afirmaron que contuvieron el exploit, abordaron la vulnerabilidad crítica y contactaron a las autoridades judiciales correspondientes para rastrear los fondos robados. En el momento de redactar esta nota, el problema ha sido solucionado y Li.Fi está operando con normalidad.
No es la primera vez
En marzo de 2022, Li.Fi sufrió un exploit similar que afectó a los usuarios con la opción de “aprobación infinita” activada. Los hackers drenaron USD 600,000 del protocolo desde 29 billeteras antes de que se abordara la vulnerabilidad.
El protocolo fue rápido en reembolsar a los inversores por sus pérdidas, reembolsando directamente desde su tesorería a 24 billeteras y ofreciendo a las cinco billeteras restantes un plan de compensación voluntaria similar al recibido por los primeros inversores ángeles de Li.Fi.
Los hacks de criptomonedas afectan a la industria en 2024
Desafortunadamente, los hackeos y exploits continúan asolando la industria de las criptomonedas y, en particular, al sector financiero descentralizado.
Según un informe reciente de la firma de seguridad Cyvers, las pérdidas por exploits de criptomonedas en 2024 están cercanas a USD 1,400 millones, impulsadas principalmente por ataques de phishing, y han aumentado drásticamente desde 2023.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
