Beosin：跨鏈協議 LI.FI 遭受攻擊事件分析

ChainCatcher 消息，据 Beosin Alert 監控預警發現，跨鏈協議 LI.FI 遭受攻擊，Beosin 安全團隊發現漏洞原因是攻擊者利用項目合約的 call 注入將授權給合約的用戶資產轉移走。LI.FI 項目合約存在一個 depositToGasZipERC20 函數，可將指定代幣兌換為平台幣並存入 GasZip 合約，但是在兌換邏輯處的代碼未對 call 調用的數據進行限制，導致攻擊者可利用此函數進行 call 注入攻擊，提取走給合約授權用戶的資產。

攻擊者地址：0x8B3Cb6Bf982798fba233Bca56749e22EEc42DcF3
被攻擊合約：0x1231DEB6f5749EF6cE6943a275A1D3E7486F4EaE

截至目前，受損失金額包括 633.59 萬USDT、319.19 萬USDC、16.95 萬 DAI，約 1000 萬美元。

Beosin Trace 正在對被盜資金進行追蹤。