知道创宇区块链安全实验室|危险的授权转账-- Li.Finance 攻击事件始末

本文分析了3月20日针对Li.Finance的区块链攻击事件,攻击者利用授权转账漏洞窃取约60万美元资产。文章详细阐述了攻击者的操作流程、漏洞细节,并赞扬了项目方的积极应对和快速修复措施。
摘要由CSDN通过智能技术生成

一、前言
北京时间3月20日晚,知道创宇区块链安全实验室 监测到以太坊上分布式跨链协议 Li.Finance 受到了攻击,攻击者执行了37次call注入获取了多个钱包中约60万美元的资产(204个ETH)。此次资产损失并没有非常大,但项目方对于攻击的处理非常积极并值得学习与肯定(见后文),目前项目方已补偿了协议损失并修复后重新部署了协议。知道创宇区块链安全实验室 第一时间跟踪本次事件并分析。

在这里插入图片描述

二、分析

1.攻击者相关信息
攻击tx:0x4b4143cbe7f5475029cf23d6dcbb56856366d91794426f2e33819b9b1aac4e96被攻击合约:0x5A9Fd7c39a6C488E715437D7b1f3C823d5596eD1–代理合约0x73a499e043b03fc047189ab1ba72eb595ff1fc8e–逻辑合约攻击者地址: 0xC6f2bDE06967E04caAf4bF4E43717c3342680d76 – 部署地址0x878099F08131a18Fab6bB0b4Cfc6B6DAe54b177E – 收款地址

2.攻击流程
攻击调用流程攻击者构造payload并调用被攻击合约0x5a9fd7c3的swapAndStartBridgeTokensViaCBridge函数
在这里插入图片描述

具体使用的Payload如下–图中选中部分即为利用授权转账(transferFrom)部分的

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值