危险的授权转账，Li.Finance攻击事件始末-ODAILY

一、前言

北京时间3月20日晚，知道创宇区块链安全实验室监测到以太坊上分布式跨链协议Li.Finance受到了攻击，攻击者执行了37次call注入获取了多个钱包中约60万美元的资产。此次资产损失并没有非常大，但项目方对于攻击的处理非常积极并值得学习与肯定(见后文)，目前项目方已补偿了协议损失并修复后重新部署了协议。知道创宇区块链安全实验室第一时间跟踪本次事件并分析。

二、分析

1.攻击者相关信息

攻击tx：0x4b4143cbe7f5475029cf23d6dcbb56856366d91794426f2e33819b9b1aac4e96

被攻击合约：

花旗：全球衰退是明显且迫在眉睫的危险:7月20日消息，花旗经济学家表示，他们认为全球经济陷入衰退的可能性为50%，预计世界经济今年增长2.9％，2023年增长2.6％，略低于之前的预测。此外，他们预计美国和欧元区料将在未来12至18个月陷入温和衰退。总的来说，预计全球经济将渡过难关，且各国不会出现同步衰退。好消息是，需求疲软缓解了供应链的压力，支持了全球金属价格的回落，这可以被看作一种通缩因素。(金十）[2022/7/20 2:26:47]

0x5A9Fd7c39a6C488E715437D7b1f3C823d5596eD1--代理合约

0x73a499e043b03fc047189ab1ba72eb595ff1fc8e--逻辑合约

攻击者地址:

0xC6f2bDE06967E04caAf4bF4E43717c3342680d76--部署地址0x878099F08131a18Fab6bB0b4Cfc6B6DAe54b177E--收款地址

俄罗斯央行行长：加密货币是最危险的投资策略:6月27日消息，俄罗斯央行行长纳比乌琳娜在采访中表示，投资数字资产比其他任何投资策略都更危险。数字资产波动很大，投资者应警惕产生“巨额”损失。（CryptoPotato）[2021/6/27 0:09:40]

2.攻击流程

攻击调用流程攻击者构造payload并调用被攻击合约0x5a9fd7c3的swapAndStartBridgeTokensViaCBridge函数

具体使用的Payload如下--图中选中部分即为利用授权转账部分的payload：

外媒：400家美国医院面临比特币勒索软件攻击的危险:美国联邦调查局（FBI）和国土安全部（美国国土安全部）发出警告，称该国医疗保健系统遭到了比特币勒索软件的协同攻击。 根据独立安全新闻机构KrebsOnSecurity的一篇报道，FBI透露，已有数十家医院遭到袭击。当局称，一个名为“Wizard Spider”的犯罪组织，也被称为UNC-1878，可能是大多数袭击的幕后主使。该组织的目标是将存储在医院服务器上的患者数据作为要挟，突然对这些信息进行加密，直到用比特币支付了赎金。

根据安全公司Hold Security截获的Wizard Spider信息清单，有400多家医院处于危险之中。Hold Security已通知联邦调查局，Wizard Spider组织声称已经感染了30家医院。10月29日，联邦调查局，国土安全部和卫生与公共服务部确认威胁是“可信的”，建议医院采取措施保护其系统。（Crypto briefing）[2020/10/30 11:15:49]

调用一次正常50刀的跨链桥功能

声音 | 李礼辉：区块链原代码基本都不是中国自己的 这很危险:据新浪财经消息，由财经杂志主办的主题为“全球格局变化下的应对与抉择”的2019三亚·财经国际论坛于12月7日在海南三亚召开。中国互联网金融协会区块链工作组组长、中国银行原行长李礼辉出席并演讲。李礼辉表示，区块链的技术已经得到了初步的形成，但是到现在为止我们的底层技术还不成熟，我们的规模化、可靠运用的瓶颈还没有突破。现在区块链所采用原代码基本上都不是中国自己的，这种技术性的依赖会造成未来发展比较大的问题，这是很危险的。[2019/12/7]

在payload中包括多个call方法(调实际用transferFrom)。让0x5a9fd7c3调用37个call，借此利用多个钱包对于0x5a9fd7c3合约的授权(approve)将钱包资产转账到攻击者地址：

声音 | Andreas Antonopoulos：无边界审查制度的身份是危险的:据AMBCrypto报道，当被问及未来比特币是否会提供一种“开放的、无国界的、抵制审查的身份认同形式”时，比特币安全专家Andreas Antonopoulos表示，“由于身份本身不是单一的东西，身份是非常非常棘手的。身份是一个分形（Fractal），它是一个多维分形，取决于你看到的人类身份的哪个方面，你可以把其中的一个方面分开”。其认为，现在讨论身份问题还为时过早。有很多项目都在寻求解决身份问题，“这是最危险的部分”，这些项目“应用了一种非常机械的人类行为观”。他进一步指出，没有道德，技术是危险的，当涉及到身份或任何其他人类行为的社会建构时，道德成为一个非常重要的因素。[2019/5/19]

后续执行正常的跨链桥逻辑_startBridge(_cBridgeData);。这也是为什么第一个swap是正常的，这样才能让后续逻辑正常执行下去

3.漏洞细节

导致本次问题的根本原因被攻击合约0x5a9fd7c3的逻辑合约存在一个批量让call调用传入数据的函数swapAndStartBridgeTokensViaCBridge

该合约将会取出payload中的多个_swapData数据结构并调用，LibSwap.swap(...);实现如下：

借此，攻击者利用该合约的call将各个钱包对0x5a9fd7c3合约的代码授权转走了多个钱包中的各种代币。

4.项目方进展

在事件发生后，项目方第一时间对合约可能的方法进行了停用，并为其审计和安全性问题进行致歉。

而后，项目方还联系了黑客，希望能与其取得联系并和平解决：

同时，最快的时间将漏洞合约修复后上线：

并将钱包对于之前被攻击合约的授权取消，对新的合约进行了重新授权：

最后，将用户资产进行补回：

同时我们关注到，其在polygon链上的合约也已实现了新的部署：

三、总结

此次攻击的根本原因是项目方对于swapAndStartBridgeTokensViaCBridge合约的实现过度自由化所导致的call调用注入，但项目方积极的面对问题的态度和后续补救的及时性值得学习和肯定。不贵于无过，而贵与改过。但我们仍希望能将错误扼杀在发生之前，应从他人的错误中学习并避免自己未来的错误，正如Li.Finance所说的那样：

我们的使命是最大化用户体验，现在我们痛苦地了解到，为了遵循这种精神，我们的安全措施必须大幅改进。

近期，各类合约漏洞安全事件频发，合约审计、风控措施、应急计划等都有必要切实落实。

标签：BRIIDGRIDGEBRIDGEEquilibrium Gamessquidgrow币最新消息Fridge TokenPoly Bridge

币安app官网下载热门资讯