X Sudoユーザーによって報告された潜在的なエクスプロイトに関する最初のレポートでは、約1000万ドルがプロトコルから引き出されたことが強調されました。別のXユーザーであるWazzは、Web3 Rabbyウォレットが統合ブリッジとしてLi.fiを展開していることを指摘し、ユーザーに自分たちの権限を確認し、それらを回収するよう警告しました。注目すべきは、Jumper ExchangeもLi.fiサービスを使用している有名なアプリケーションであることです。
さらに、ブロックチェーンセキュリティ会社のCertiKがX上で進行中の脆弱性を共有した後、ユーザーのNick L. Franklinは、これが「コールインジェクション」と呼ばれる攻撃の可能性があると述べました。これは、ネットワークセキュリティ領域の攻撃技術であり、攻撃者がアプリケーションやシステムにコマンドや呼び出し(call)を挿入して許可されていないアクションを実行するものです。これは通常、インジェクション攻撃の一形態であり、SQLインジェクションやXSS(クロスサイトスクリプティング)と同様ですが、データやWebフォームへのコードの挿入ではなく、呼び出しやシステムのコンポーネント間の通信サービスにコマンドを挿入します。
LI.FIは悪用され、約10百万ドルを失いました
Li.fiの相互作用プロトコルは、プロトコルが潜在的な脆弱性を調査しているため、ユーザーが自分のインフラストラクチャを使用するアプリケーションに対して相互作用しないよう警告しています。手動で無制限の承認を設定したユーザーのみが影響を受けます。
「現在、LI.FIをサポートするアプリとの相互作用は行わないでください!潜在的なエクスプロイト事件を調査しています。無制限の承認レベルを設定していない場合、リスクはありません。手動で無制限の承認レベルを設定したユーザーのみが影響を受けます。すべての承認を取り消します: 」
0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae 0x341e94069f53234fE6DabeF707aD424830525715 0xDE1E598b81620773454588B85D6b5D4eEC3 2573e 0x24ca98fB6972F5eE05f0dB00595c7f68D9FaFd68」です。
X Sudoユーザーによって報告された潜在的なエクスプロイトに関する最初のレポートでは、約1000万ドルがプロトコルから引き出されたことが強調されました。別のXユーザーであるWazzは、Web3 Rabbyウォレットが統合ブリッジとしてLi.fiを展開していることを指摘し、ユーザーに自分たちの権限を確認し、それらを回収するよう警告しました。注目すべきは、Jumper ExchangeもLi.fiサービスを使用している有名なアプリケーションであることです。
さらに、ブロックチェーンセキュリティ会社のCertiKがX上で進行中の脆弱性を共有した後、ユーザーのNick L. Franklinは、これが「コールインジェクション」と呼ばれる攻撃の可能性があると述べました。これは、ネットワークセキュリティ領域の攻撃技術であり、攻撃者がアプリケーションやシステムにコマンドや呼び出し(call)を挿入して許可されていないアクションを実行するものです。これは通常、インジェクション攻撃の一形態であり、SQLインジェクションやXSS(クロスサイトスクリプティング)と同様ですが、データやWebフォームへのコードの挿入ではなく、呼び出しやシステムのコンポーネント間の通信サービスにコマンドを挿入します。
ブロックチェーンセキュリティ企業PeckShieldによると、同様の攻撃は2022年3月にLi.fiに対しても使用されました。