危险的授权转账,Li.Finance攻击事件始末_RIDGE:ledger钱包照片

一、前言

北京时间3月20日晚,知道创宇区块链安全实验室?监测到以太坊上分布式跨链协议Li.Finance受到了攻击,攻击者执行了37次call注入获取了多个钱包中约60万美元的资产。此次资产损失并没有非常大,但项目方对于攻击的处理非常积极并值得学习与肯定(见后文),目前项目方已补偿了协议损失并修复后重新部署了协议。知道创宇区块链安全实验室?第一时间跟踪本次事件并分析。

二、分析

1.攻击者相关信息

攻击tx:0x4b4143cbe7f5475029cf23d6dcbb56856366d91794426f2e33819b9b1aac4e96

新加坡将为Web3等技术提供1.5亿美元基金:8月7日消息,新加坡金融管理局(MAS)在一份声明中表示,根据新的金融部门技术和创新计划(FSTI 3.0),未来三年将向Web3初创公司和其他技术投资1.5亿美元。MAS认识到与行业合作支持Web3.0等新兴技术产生的创新金融科技解决方案的重要性,MAS将公开呼吁在行业用例中使用创新技术。将提供赠款资金以支持实际试验和商业化。

这是官方实体首次投资加密货币创新,MAS董事总经理Ravi Menon表示,我们期待与业界继续合作,推进有针对性的金融创新。[2023/8/7 21:29:59]

被攻击合约:

0x5A9Fd7c39a6C488E715437D7b1f3C823d5596eD1--代理合约

Shell Protocol已开放“是否成立DAO以接受其他项目空投”投票:3月22日消息,DeFi协议Shell Protocol已开放“是否成立Shell DAO以接受其他项目空投”投票。此前报道,Shell Protocol曾于Arbitrum网络发行Toucan NFT,并将此NFT系列用于社区治理投票。[2023/3/22 13:18:44]

0x73a499e043b03fc047189ab1ba72eb595ff1fc8e--逻辑合约

攻击者地址:

?0xC6f2bDE06967E04caAf4bF4E43717c3342680d76--部署地址0x878099F08131a18Fab6bB0b4Cfc6B6DAe54b177E--收款地址

日本央行:目前政府发布央行数字货币在技术上是不可行的:金色财经消息,日本央行(BoJ)认为,目前政府发布央行数字货币(CBDC)在技术上是不可行的。该银行透露,大多数日本公民并不关心CBDC,因为他们已经广泛地获得了许多低成本、高效率的互联网银行服务和数字支付工具。此外,日本的现金发行量很高,约占该国名义国内生产总值的20%。尽管数字支付方式兴起,但现金的使用仍然占主导地位,特别是在日本的老年人口中,而该国大约三分之一的人口在65岁或以上。

据悉,日本央行在2021年开始讨论由日元支持的CBDC的想法,该项目第二阶段的测试于4月开始。

此前金色财经报道,由于公众缺乏兴趣,日本中央银行放弃了CBDC计划。[2022/8/2 2:52:19]

2.攻击流程

攻击调用流程攻击者构造payload并调用被攻击合约0x5a9fd7c3的swapAndStartBridgeTokensViaCBridge函数

具体使用的Payload如下--图中选中部分即为利用授权转账部分的payload:

调用一次正常50刀的跨链桥功能

在payload中包括多个call方法(调实际用transferFrom)。让0x5a9fd7c3调用37个call,借此利用多个钱包对于0x5a9fd7c3合约的授权(approve)将钱包资产转账到攻击者地址:

后续执行正常的跨链桥逻辑_startBridge(_cBridgeData);。这也是为什么第一个swap是正常的,这样才能让后续逻辑正常执行下去

3.漏洞细节

导致本次问题的根本原因被攻击合约0x5a9fd7c3的逻辑合约存在一个批量让call调用传入数据的函数swapAndStartBridgeTokensViaCBridge

该合约将会取出payload中的多个_swapData数据结构并调用,LibSwap.swap(...);实现如下:

借此,攻击者利用该合约的call将各个钱包对0x5a9fd7c3合约的代码授权转走了多个钱包中的各种代币。

4.项目方进展

在事件发生后,项目方第一时间对合约可能的方法进行了停用,并为其审计和安全性问题进行致歉。

而后,项目方还联系了黑客,希望能与其取得联系并和平解决:

同时,最快的时间将漏洞合约修复后上线:

并将钱包对于之前被攻击合约的授权取消,对新的合约进行了重新授权:

最后,将用户资产进行补回:

同时我们关注到,其在polygon链上的合约也已实现了新的部署:

三、总结

此次攻击的根本原因是项目方对于swapAndStartBridgeTokensViaCBridge合约的实现过度自由化所导致的call调用注入,但项目方积极的面对问题的态度和后续补救的及时性值得学习和肯定。不贵于无过,而贵与改过。但我们仍希望能将错误扼杀在发生之前,应从他人的错误中学习并避免自己未来的错误,正如Li.Finance所说的那样:

我们的使命是最大化用户体验,现在我们痛苦地了解到,为了遵循这种精神,我们的安全措施必须大幅改进。

近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

DYDX關於AAX支持BTC閃電網絡的公告_TPS:COMP币

尊敬的AAX用户: 為給廣大用戶提供更加快速、低手續費的BTC充提服務,AAX將支持用戶使用閃電網絡進行BTC充提,具體安排如下上線時間:2022年3月22日請注意:如充幣金額低於最低充幣限額.

OKBZT STO板即將上線DSX_MAT:Defi Bomb

親愛的ZT用戶: ZTSTO板即將上線DSX,並開啟DSX/USDT交易對。具體上線時間如下: 充值:已開啟; 交易:2022年3月23日10:18; DSX 項目簡介:DSX是全球首個關於文旅.

[0:0ms0-3:708ms