Beosin：크로스 체인 프로토콜 LI.FI 공격 사건 분석

ChainCatcher 메시지에 따르면, Beosin Alert 모니터링 경고에서 크로스 체인 프로토콜 LI.FI가 공격을 받았다고 합니다. Beosin 보안 팀은 공격자가 프로젝트 계약의 call 주입을 이용하여 계약에 권한을 부여한 사용자의 자산을 이동시킨 취약점을 발견했습니다. LI.FI 프로젝트 계약에는 지정된 토큰을 플랫폼 토큰으로 교환하고 GasZip 계약에 예치할 수 있는 depositToGasZipERC20 함수가 존재하지만, 교환 로직의 코드에서 call 호출 데이터에 대한 제한이 없어 공격자가 이 함수를 이용해 call 주입 공격을 수행하고 계약에 권한을 부여한 사용자의 자산을 추출할 수 있게 되었습니다.

공격자 주소: 0x8B3Cb6Bf982798fba233Bca56749e22EEc42DcF3
피해 계약: 0x1231DEB6f5749EF6cE6943a275A1D3E7486F4EaE

현재까지 손실 금액은 633.59만 USDT, 319.19만 USDC, 16.95만 DAI로, 약 1000만 달러에 해당합니다.

Beosin Trace는 도난당한 자금을 추적하고 있습니다.