출처: 토큰포스트
크로스체인 블록체인 프로토콜 LI.FI가 해킹 피해를 입었다고 팀이 소셜 미디어 플랫폼 X를 통해 밝혔다. 현재 팀은 가능한 해킹을 조사 중이며, 특정 기능을 수동 설정한 사용자만 영향을 받는 것으로 보인다.
16일(현지시간) 더 블록에 따르면, LI.FI 팀은 “지금은 LI.FI가 지원하는 애플리케이션과 상호작용하지 말라”고 글을 남겼다. “무한 승인(infinite approval)을 설정하지 않은 경우 위험하지 않다”고 덧붙였다.
LI.FI는 “모든 사용자에게 즉시 우리의 격리된 권한 철회 웹사이트를 사용하길 촉구한다”며 “추가로 4건의 보안 침해가 확인되었다”고 밝혔다.
개인들은 scan.li.fi를 방문하여 자신이 영향을 받았는지 확인하고 revoke.cash를 통해 권한을 철회할 수 있다.
보안 회사 디큐리티(Decurity)는 “문제의 근본 원인은 5일 전에 배포된 이더리움(ETH) 가스 계약에 사용자가 제어하는 데이터를 포함한 임의 호출”이라고 말했다.
디큐리티 연구원들은 “해커가 transferFrom() 호출을 포함한 특수 calldata를 작성하고 이를 swapData로 전달하여 bridge에서 승인된 토큰을 탈취했다”고 X에 썼다.
이 공격은 공격자가 원래 코드의 매개변수를 사용하여 합법적이지만 예상치 못한 거래를 실행할 수 있게 하는 ‘콜 인젝션(call injection)’ 공격의 일종으로 보인다. 이 유형의 취약성으로 인해 수억 달러 상당의 암호화폐가 손실된 것으로 알려져 있다.
디파이 월드(DeFi World) 데이터에 따르면, 탈취된 자금을 포함한 지갑은 4백만 달러 이상의 ETH와 거의 20만 달러의 DAI 스테이블코인을 제어하고 있다. 그러나 USDT와 USDC 스테이블코인도 플랫폼을 떠나고 있어 실제 금액은 과소평가된 것으로 보인다. 보안 회사 서틱(Certik)는 총 손실액을 약 9백만 달러로 추정하고 있다.
다른 보안 회사 펙실드(Peckshield)는 2022년에 LI.FI가 유사한 공격을 받았다고 주장한다.
