Odaily星球日報訊據Beosin Alert 監控預警發現,跨鏈協議LI.FI 遭受攻擊,Beosin 安全團隊發現漏洞原因是攻擊者利用項目合約的call 注入將授權給合約的用戶資產轉移走。 LI.FI 專案合約存在depositToGasZipERC20 函數,可將指定代幣兌換為平台幣並存入GasZip 合約,但是在兌換邏輯處的程式碼未對call 呼叫的資料進行限制,導致攻擊者可利用此函數進行call注入攻擊,提取走給合約授權使用者的資產。 攻擊者地址:0x8B3Cb6Bf982798fba233Bca56749e22EEc42DcF3 被攻擊合約:0x1231DEB6f5749EF6cE6943a275A1D3E7486F4EaE Beosin,正在追蹤被盜資金。