Beosin：跨链协议LI.FI遭受攻击事件分析

7月16日消息，据Beosin Alert监控预警发现，跨链协议LI.FI遭受攻击。Beosin安全团队发现漏洞原因是攻击者利用项目合约的call注入将授权给合约的用户资产转移走。LI.FI项目合约中的depositToGasZipERC20函数可将指定代币兑换为平台币并存入GasZip合约，但在兑

7月16日消息，据Beosin Alert监控预警发现，跨链协议LI.FI遭受攻击。Beosin安全团队发现漏洞原因是攻击者利用项目合约的call注入将授权给合约的用户资产转移走。LI.FI项目合约中的depositToGasZipERC20函数可将指定代币兑换为平台币并存入GasZip合约，但在兑换逻辑处的代码未对call调用的数据进行限制，导致攻击者可利用此函数进行call注入攻击，提取走给合约授权用户的资产。 攻击者地址：0x8B3Cb6Bf982798fba233Bca56749e22EEc42DcF3 被攻击合约：0x1231DEB6f5749EF6cE6943a275A1D3E7486F4EaE