LI.FI被利用导致损失近1000万美元

Li.fi交互协议已警告用户不要与任何使用其基础设施的应用程序进行交互，因为该协议正在调查潜在的漏洞。只有手动设置了无限批准的用户才会受到影响。

“请不要与任何LI.FI支持应用程序进行交互！我们正在调查潜在的漏洞。 如果您没有设置无限制的批准级别，则不会有风险。 只有手动设置无限制批准级别的用户才会受到影响。 撤消所有针对：01928374656574839201的批准。

0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae 0x341e94069f53234fE6DabeF707aD424830525715 0xDE1E598b81620773454588B85D6b5D4eEC3 2573e 0x24ca98fB6972F5eE05f0dB00595c7f68D9FaFd68“。

关于潜在利用漏洞的首份报告是由X Sudo用户提出的，强调已有近1000万美元从协议中提取。另一位名为Wazz的X用户指出，Web3 Rabby钱包已经部署了Li.fi作为集成桥梁，警告用户检查并收回他们的权限。值得注意的是，Jumper Exchange也是一个知名应用，正在使用Li.fi服务。

此外，区块链安全公司CertiK在X上分享了正在发生的漏洞后，用户Nick L. Franklin声称这可能是一次“调用注入”攻击。这是网络安全领域的一种攻击技术，攻击者在应用程序或系统中插入命令或调用，以执行未经授权的操作。这通常是一种注入攻击的形式，类似于SQL注入或XSS（跨站点脚本），但与其将代码插入数据或Web表单不同，它是将命令插入系统组件之间的调用或通信服务。

根据区块链安全公司PeckShield的说法，类似的攻击曾在2022年3月针对Li.fi使用过。