成都鏈安:攻擊者惡意構建callTo地址為代幣合約地址,並調用transferFrom函數轉移代幣

星球日報訊針對“DEX聚合協議Li.Finance遭黑客攻擊”事件,成都鏈安團隊分析發現DEX聚合協議Li.Finance被攻擊合約中的swapAndStartBridgeTokensViaCBridge函數中存在call注入攻擊,可通過構造惡意的數據(_swapData)控制call調用的參數。在本次攻擊事件中,攻擊者惡意構建callTo地址為對應的代幣合約地址,並調用代幣合約的transferFrom函數轉走受害地址的代幣。據此前消息,DEX聚合協議Li.Finance宣布其智能合約存在潛在漏洞,正遭黑客攻擊,已停用所有交易功能。現該漏洞已修復。攻擊者從29個錢包中盜取約60萬美元。

Total
0
Shares
Related Posts