LI.FI було використано, що призвело до втрати майже 10 мільйонів доларів

Протокол взаємодії Li.fi попереджає користувачів не взаємодіяти з жодними додатками, що використовують їхню інфраструктуру, оскільки протокол розслідує потенційну вразливість. Тільки користувачі, які вручну налаштували нові нескінченні схвалення, піддаються впливу.

Будь ласка, не взаємодійте з жодною додатковою програмою підтримки LI.FI зараз! Ми розслідуємо потенційну недолік. Якщо ви не встановили необмежену суму схвалення, ви не столкнетесь з небезпекою. Тільки користувачі, які встановили необмежену суму схвалення вручну, постраждали. Відкликати всі схвалення для:

0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae 0x341e94069f53234fE6DabeF707aD424830525715 0xDE1E598b81620773454588B85D6b5D4eEC3 2573e 0x24ca98fB6972F5eE05f0dB00595c7f68D9FaFd68».

Перший звіт про потенційне використання, наданий користувачем X Sudo, який підкреслив, що з протоколу було знято майже 10 мільйонів доларів США. Ще один користувач X під ніком Wazz зазначив, що гаманець Web3 Rabby реалізував Li.fi як інтеграційний міст, попереджаючи користувачів перевіряти свої права та відновлювати їх. Значним є те, що Jumper Exchange також є популярним додатком, який використовує послуги Li.fi.

Крім того, після того, як компанія з блокчейн-безпеки CertiK поділилася на X про порушення безпеки, користувач Нік Л. Франклін заявив, що це може бути атака «виклик вставки». Це техніка атаки в галузі кібербезпеки, де зловмисник вставляє команди або виклики (виклик) в додаток або систему, щоб виконати неприпустимі дії. Це зазвичай є формою ін’єкції атак, подібно до ін’єкції SQL або XSS (міжсайтового скриптінгу), але замість вставки коду в дані або веб-форму, вона вставляє команди в виклики або служби зв’язку між компонентами системи.

За даними компанії з блокчейн-безпеки PeckShield, подібна атака вже використовувалася проти Li.fi в березні 2022 року.