Beosin：クロスチェーンプロトコル LI.FI の攻撃事件分析

ChainCatcher のメッセージによると、Beosin Alert の監視警告で、クロスチェーンプロトコル LI.FI が攻撃を受けたことが発見されました。Beosin セキュリティチームは、攻撃者がプロジェクトコントラクトの call 注入を利用して、コントラクトに権限を与えられたユーザーの資産を移転させる脆弱性を発見しました。LI.FI プロジェクトコントラクトには、指定されたトークンをプラットフォームトークンに交換し、GasZip コントラクトに預け入れる depositToGasZipERC20 関数がありますが、交換ロジックのコードが call 呼び出しのデータに対する制限を設けていないため、攻撃者はこの関数を利用して call 注入攻撃を行い、コントラクトに権限を与えられたユーザーの資産を引き出すことが可能です。

攻撃者アドレス：0x8B3Cb6Bf982798fba233Bca56749e22EEc42DcF3
攻撃を受けたコントラクト：0x1231DEB6f5749EF6cE6943a275A1D3E7486F4EaE

現在までのところ、損失額は 633.59 万 USDT、319.19 万 USDC、16.95 万 DAI、約 1000 万ドルです。

Beosin Trace は盗まれた資金の追跡を行っています。