Beosin:跨鏈協議LI.FI遭受攻擊事件分析
摘要:Odaily星球日報訊 據 Beosin Alert 監控預警發現,跨鏈協議 LI.FI 遭受攻擊,Beosin 安全團隊發現漏洞原因是攻擊者利用項目合約的 call 註入將授權給合約的用戶資產轉移走。LI.FI 項目合約存在一個 depositToGasZipERC20 函數,可將指定代幣兌換為平臺幣並存入 GasZip 合約,
Odaily星球日報訊 據 Beosin Alert 監控預警發現,跨鏈協議 LI.FI 遭受攻擊,Beosin 安全團隊發現漏洞原因是攻擊者利用項目合約的 call 註入將授權給合約的用戶資產轉移走。LI.FI 項目合約存在一個 depositToGasZipERC20 函數,可將指定代幣兌換為平臺幣並存入 GasZip 合約,但是在兌換邏輯處的代碼未對 call 調用的數據進行限制,導致攻擊者可利用此函數進行 call 註入攻擊,提取走給合約授權用戶的資產。攻擊者地址:0x8B3Cb6Bf982798fba233Bca56749e22EEc42DcF3被攻擊合約:0x1231DEB6f5749EF6cE6943a275A1D3E7486F4EaEBeosin Trace 正在對被盜資金進行追蹤。