跨鏈橋協議LI.FI遭駭1,200萬美元，派盾：兩年前就被同樣漏洞駭過

幾天前，跨鏈橋協議 LI.FI 發生遭漏洞利用損失近 1,200 萬美元的消息，並在昨日 (18) 發佈了安全事件報告，強調將全額補償受害者。然而卻被挖出，兩年前就曾因同樣漏洞，使得用戶蒙受 60 萬美元損失。

跨鏈橋 LI.FI 遭駭 1,160 萬美元

鏈上資安團隊慢霧於週二指出，監測到了 LI.FI 遭到漏洞利用，在一個小時內流出超過 1,000 萬美元資金，並呼籲使用者立即取消合約授權。

LI.FI 在當時透過 X 要求用戶停止與 LI.FI 相關應用互動，強調僅有少數錢包受到影響。

報告寫道，共有 153 個與 LI.FI 相關的錢包，在攻擊中損失 1,160 萬美元的 USDC、USDT、DAI 穩定幣及其他加密貨幣，並把責任歸因於智能合約更新期間的「團隊人為錯誤」。

團隊同時表明，在當時便已即時啟動了安全事件應對計劃：

在檢測到安全漏洞後，我們的團隊便迅速禁用了所有鏈上的漏洞合約，遏制了威脅，並防止了進一步的未授權存取。

(盤點 2024 上半年遭駭事件：損失金額高達 13.8 億美元、已是去年同期兩倍)

派盾：兩年前也被同樣漏洞攻擊，有學到教訓嗎？

據悉，該漏洞起源於新部署的智能合約，在驗證交易的過程中存在人為上的疏忽，使得升級後的合約漏洞讓攻擊者在新合約部署後的幾分鐘內，擁有對用戶錢包無需授權的讀取權限。

報告寫道，LI.FI 用戶在橋接資金時，會經由 LibSwap 程式庫調用多個去中心化交易所 (DEX) 及其他 DeFi 協議的資料，並就已批准的合約地址及函數進行驗證：

然而，由於部署新合約過程中的「人為監督疏失」，此步驟缺少了驗證及檢查。

資安公司派盾對此指出，LI.FI 似乎早在 2022 年便曾遭受同樣的攻擊，導致了 60 萬美元的損失，如今又重蹈覆徹。

團隊呼籲受害者填寫表單、積極追回資金

案發後續，LI.FI 也強調正與執法機構及 web3 安全公司合作，以試圖監控並追回遭盜的資金：

我們的首要任務是恢復使用者資金，同時也正在評估對受影響用戶進行全額賠償的方案。

團隊也呼籲本次事件的受害用戶，於連結中填寫表單，以便確認補償方案。