PANews 7月16日消息,根據Beosin Alert監控預警發現,跨鏈協議LI.FI遭受攻擊。 Beosin安全團隊發現漏洞原因是攻擊者利用專案合約的call注入將授權給合約的使用者資產轉移走。 LI.FI項目合約中的depositToGasZipERC20函數可將指定代幣兌換為平台幣並存入GasZip合約,但在兌換邏輯處的代碼未對call調用的數據進行限制,導致攻擊者可利用此函數進行call注入攻擊,提取走給合約授權使用者的資產。總損失金額約1000萬美元,其中包括633.59萬USDT、319.19萬USDC、16.95萬DAI。攻擊發生在ETH以及Arbitrum這兩條鏈上,目前大部分資金轉為ETH暫無新的動向,Beosin已將駭客相關地址加入KYT黑地址庫,後續將持續保持追蹤關注。

攻擊者位址:0x8B3Cb6Bf982798fba233Bca56749e22EEc42DcF3

被攻擊合約:0x1231DEB6f5749EF6cE6943a275A1D3E7486F4EaE

Beosin:跨鏈協定LI.FI遭受攻擊事件分析