DEXアグリゲーターのLi Financeが攻撃を受け、60万ドルの損失

3月20日午前2時51分（UTC時間）、クロスチェーンDEXアグリゲーターLi Financeのプロトコル脆弱性がハッカーに悪用され、29のユーザーウォレットが盗まれ、USDCやMATICなど10の暗号資産を含む約60万ドル相当の暗号資産が失われた。

事故後、李財務はすべての両替機能を閉鎖した。 21日早朝、アプリ側が公式に発表した詳細な説明によると、ハッカーがLi Financeスマートコントラクトの脆弱性を悪用し、資産の交換なしにスマートコントラクトからトークンコントラクトを直接呼び出すことで、無制限権限コントラクトのユーザーの資産を盗んだことが判明した。

現在、Li Financeは脆弱性を修正し、影響を受けた29のウォレットのうち25が補償を受けているが、補償総額はわずか8万ドルである。未解決の盗難資産51万7000ドルを含むウォレットが4つあり、「エンジェル投資」に頼ることが提案されている。

Li Financeは、攻撃がセキュリティ監査の直前に発生したことを明らかにした。この事故は、DeFiアプリケーションを使用する際には、アプリケーションの監査状況を注意深く調べ、慎重にアプリケーションを承認する必要があることをDeFiユーザーに改めて認識させました。

リーファイナンスの窃盗総額は60万ドル

3月21日、Li FinanceはMedium上で攻撃のプロセスを公式に詳細に公開した。

Li Finance はクロスチェーン DEX アグリゲーターであるため、アプリのスマート コントラクトにより、発信者は通話データを含むアドレスを使用して複数の交換配列を渡すことができます。 「この設計により、どの DEX を呼び出すことができるか、またどの方法で呼び出すことができるかに関して最大​​限の柔軟性が提供されます。これにより、誰でも DEX だけでなく他の契約を呼び出すこともできます。」

この設計は、ハッカーが悪用できる抜け穴を提供しました。攻撃者は最初に少量の正当な交換を渡し、次にさまざまなトークン契約を複数回直接呼び出しました。 「具体的には、彼らは「transferForm」を呼び出し、これにより攻撃者は、この特定のトークンの契約を以前に無期限に承認したユーザーのウォレットから資金を転送できるようになりました。」

LiFinanceは、攻撃者が契約を呼び出す例を公開した

Li Financeは、この種の呼び出しはユーザーの資産を移転する権限を持つ契約の文脈で実行されるため「有効」であると述べた。攻撃者はこれらのトークンを自分の管理下にある別のウォレットに転送しました。 「送金が完了すると、最初にやり取りした少額の資金がブリッジで接続され、取引が完了します。」

Li Financeによると、3月20日の早朝、攻撃者はこの脆弱性を悪用して取引を完了し、USDC、MATIC、RPL、GNO、USDT、MVI、AUDIO、AAVE、JRT、DAIを含む29のウォレットから約60万ドル相当の暗号資産（当時の価値で58万7500ドルまたは205 ETH）が盗まれたという。これらの資産は攻撃者によって 204.7 ETH と交換されました。

Li Finance は脆弱性を発見した後、交換を許可するすべての契約方法を無効にし、Li Finance が承認した DEX への外部呼び出しのみを許可するホワイトリストを追加しました。最も重要なのは、アプリケーションが「無制限の承認」機能を無効にしていたことです。

大きなダメージを受けた財布を「エンジェル投資」に変える計画

Li Financeは脆弱性を修正した後、18時間以内に影響を受けたユーザーのほとんどに補償したと主張した。つまり、被害を受けた29個のウォレットのうち25個に約8万ドルの補償額が払い戻され、補償されなかった残りの4個のウォレットには51万7000ドルの損失があった。

大きな損失を被った4つのウォレットについて、Li Financeは「財務上の損失を軽減するために、損失した資金をLI.FIへのエンジェル投資に転換する用意がある。（損失を被ったユーザーの）投資家として、現在の資金調達ラウンドの投資家の条件が適用される」と提案した。 Li Financeはまた、この提案を受け入れるか拒否するかは最終的にはユーザーが決めることだと述べた。彼らは、メインネット上の取引とTwitterを通じて、まだ補償を受けていない影響を受けた4つのウォレットに連絡を取った。

注目すべきは、この攻撃が Li Finance がセキュリティ監査を実施する直前に発生したことである。このアプリは1か月前に独自のスマート コントラクトを実装しましたが、「監査の開始までわずか1週間しかなかったので、タイミングは最悪でした。」

Li Financeは、DeFiインフラとアプリケーション層の間に中間層を構築し、ブリッジを集約・抽象化し、それを各チェーンのDEXとアグリゲーターに接続して、クロスチェーン取引を容易にしようとしていると述べた。分散化、信用前提、手数料、ガス効率、速度などの要素を評価および測定した後、統合パートナーとエンドユーザーのしきい値と好みを使用してパスを選択しました。 「残念なことに、この脆弱性の悪用は私たち自身のスマートコントラクトから発生しました。」

Li Finance のセキュリティインシデントは、DeFi セキュリティの重要性を改めて示しています。

3月21日現在、分散型金融（DeFi）にロックされている暗号資産の総額は再び2000億ドルを超え、これはテスラの時価総額の4分の1に相当する。 1月末には、DeFiのTVLは1,852億ドルの最低値まで落ち込んだ。

DeFi 市場は回復しましたが、適用されたスマート コントラクトのセキュリティは依然としてエコシステムの発展を脅かす大きな問題となっています。

BitAntデータ監視センターの統計によると、今年2月だけでDeFi分野で7件のセキュリティインシデントが発生しています。そのうち、鎖橋「ワームホール」がハッキングされ、盗まれた資金は3億2600万ドル以上に相当する。韓国のDeFiプロジェクトKLAYswapがハッキングされ、約183万ドルの損失が発生した。

さらに、2月6日にはメーター鎖橋がハッカーの攻撃を受け、約430万ドルの損失が発生した。 4日後の2月10日、DeFiアプリケーションDego Financeがハッキングされ、UniSwapとPancakeSwapのDEGO流動性が枯渇し、3つのチェーンの損失総額は約1,762万ドルとなった。

2月14日、Titano Financeのステーキング契約が悪用され、ハッカーが約4828.7BNB（約1900万米ドル相当）を盗みました。翌日、Build Finance プロジェクトは再び悪意あるガバナンス乗っ取りに遭いました。攻撃者はBuildトークン契約の制御に成功し、110万BUILDトークンを発行してプロジェクトの流動性プールを使い果たし、合計16 ETH、2001 USDC、481,405 DAI、75,719 NCR、約112万米ドル相当の利益を上げました。

2月23日、DeFi利回りプロトコルFlurry Financeに脆弱性が発生し、ハッカーがFinance Rabbit戦略に投入された資金を悪用しました。

ユーザーにとって、アプリケーションのセキュリティ監査に注意を払うことは、依然としてやらなければならない宿題です。さらに、さまざまなアプリケーションを使用する場合、ユーザーはウォレットを慎重に認証する必要があります。