据 ChainCatcher 消息,BeosinAlert 监控预警发现,跨链协议 LI.FI 遭遇攻击。Beosin 安全团队经调查发现,此次漏洞源于攻击者利用项目合约的 call 注入功能,将授权给合约的用户资产转移。
LI.FI 项目合约中的 depositToGasZipERC20 函数可将特定代币兑换为平台币并存入 GasZip 合约。然而,在兑换逻辑的代码编写中,未对 call 调用的数据进行有效限制,从而使攻击者有机可乘,利用该函数实施 call 注入攻击,进而盗取授权用户的资产。
攻击者地址为:0x8B3Cb6Bf982798fba233Bca56749e22EEc42DcF3。受攻击的合约为:0x1231DEB6f5749EF6cE6943a275A1D3E7486F4EaE。
BeosinTrace 现已着手追踪被盗资金的流向。