หลังจาก Li.Fi โดนแฮ็กเสียหาย 11.6 ล้านดอลล่าร์ ซึ่งเป็น API ที่ใช้เชื่อมต่อและแลกเปลี่ยนสินทรัพย์ดิจิทัลข้ามบล็อคเชน โดยทีมงาน Li.Fi จึงได้เผยแพร่การอัปเดตพร้อมระบุรายละเอียดทางเทคนิคของการละเมิดดังกล่าว
ตามการอัปเดตด้านความปลอดภัยพบว่า การใช้งาน smart contract facet ใหม่ถือเป็นจุดที่มีโจมตีที่เป็นอันตราย โดยช่องโหว่ในโค้ดทำให้ผู้ใช้เรียกใช้ smart contract เพื่อเริ่มต้นการเรียกใช้สัญญาใดๆ โดยไม่ต้องตรวจสอบก่อน
ฟังก์ชันนี้เป็นผลลัพธ์ของโค้ดที่นำมาจากไลบรารี LibSwap ซึ่งใช้เพื่ออำนวยความสะดวกระหว่างเว็บเทรดแบบกระจายอำนาจ , ผู้ให้บริการ , และไคลเอนต์ เพื่อประสานงานกระบวนการ bridge และแลกเปลี่ยนสินทรัพย์
โดยปกติแล้ว กระบวนการเหล่านี้จะได้รับการคัดกรองจากที่อยู่ whitelist เพื่อให้มั่นใจถึงการตรวจสอบความถูกต้อง อย่างไรก็ตาม Li.Fi อธิบายว่าข้อผิดพลาดของมนุษย์ในการปรับใช้ smart contract เป็นสาเหตุหลักของช่องโหว่ที่ถูกใช้ประโยชน์โดยผู้ไม่ประสงค์ดี
ทีม Li.Fi ยืนยันว่าการโจมตีเกิดขึ้นบนเครือข่าย Ethereum และ Arbitrum และส่งผลกระทบต่อกระเป๋าสตางค์ 156 ใบที่เปิดใช้งานตัวเลือก “infinite approvals” โดยผู้ใช้ที่ไม่ได้เปิดใช้งานตัวเลือกนี้จะไม่ได้รับผลกระทบจากการโจมตีดังกล่าว
โฆษกของ Li.Fi กล่าวว่าพวกเขาได้แก้ไขช่องโหว่สำคัญดังกล่าวแล้ว และติดต่อไปยังหน่วยงานบังคับใช้กฎหมายที่เกี่ยวข้องเพื่อติดตามเงินที่ถูกขโมยไป ซึ่ง ณ เวลาที่เขียนบทความนี้ ปัญหาดังกล่าวได้รับการแก้ไขแล้ว และ Li.Fi ก็ยังทำงานได้ตามปกติ
ในเดือนมีนาคม 2022 Li.Fi เคยโดนโจมตีในลักษณะเดียวกันนี้โดยผู้ใช้ที่เปิดใช้งานตัวเลือก “infinite approvals” ทำให้แฮ็กเกอร์ดูดเงินไปจากโปรโตคอล 600,000 ดอลลาร์ จากกระเป๋าสตางค์ 29 ใบ ก่อนที่ช่องโหว่นี้จะได้รับการแก้ไข
อ้างอิง : cointelegraph.com
ภาพ decrypt.co
