Beosin: Phân tích các cuộc tấn công vào giao thức chuỗi chéo LI.FI

Theo cảnh báo giám sát Beosin Alert, giao thức chuỗi chéo LI.FI đã bị tấn công. Nhóm bảo mật Beosin phát hiện ra rằng nguyên nhân gây ra lỗ hổng là do kẻ tấn công đã sử dụng tính năng chèn cuộc gọi của hợp đồng dự án để chuyển tài sản của người dùng được ủy quyền cho hợp đồng. . Có một hàm DepositToGasZipERC20 trong hợp đồng dự án LI.FI, có thể chuyển đổi mã thông báo được chỉ định thành tiền tệ nền tảng và gửi nó vào hợp đồng GasZip. Tuy nhiên, mã trong logic trao đổi không giới hạn dữ liệu được gọi bởi lệnh gọi, cho phép. Những kẻ tấn công sử dụng chức năng này để thực hiện cuộc tấn công tiêm chích, rút ​​tài sản được trao cho người dùng được ủy quyền của hợp đồng. Địa chỉ kẻ tấn công: 0x8B3Cb6Bf982798fba233Bca56749e22EEc42DcF3 Hợp đồng bị tấn công: 0x1231DEB6f5749EF6cE6943a275A1D3E7486F4EaE Beosin Trace đang theo dõi số tiền bị đánh cắp.