WAN:危險的授權轉賬：Li.Finance 攻擊事件始末

前言

北京時間3月20日晚，知道創宇區塊鏈安全實驗室?監測到以太坊上分布式跨鏈協議。Li.Finance 受到了攻擊，攻擊者執行了 37 次call注入，獲取了多個錢包中約 60 萬美元的資產（204個ETH）。此次資產損失并沒有非常大，但項目方對于攻擊的處理非常積極并值得學習與肯定(見后文)，目前項目方已補償了協議損失并修復后重新部署了協議。

知道創宇區塊鏈安全實驗室?第一時間跟蹤本次事件并分析。

分析

1.攻擊者相關信息

攻擊tx：

0x4b4143cbe7f5475029cf23d6dcbb56856366d91794426f2e33819b9b1aac4e96

彭博社：Gary Wang對于SBF來說是比Caroline Ellison更危險的證人:12月26日消息，彭博社近日刊文分析稱，與Alameda Research前首席執行官Caroline Ellison相比，FTX聯合創始人Gary Wang對FTX的重要性要大得多，這使他成為SBF更危險的證人。此前SBF將FTX的倒閉歸咎于Caroline Ellison，但這一辯護被Gary Wang的認罪協議削弱了。紐約前聯邦檢察官Sarah Paul表示：“我預計SBF將更難聲稱他不知道Gary Wang的所作所為。讓這兩名合作證人在審判中指證他，這將是非常有力的。”

Gary Wang和SBF的關系非常密切。Gary Wang和SBF第一次見面是在高中的數學夏令營，他們在麻省理工學院是室友。他們在加州伯克利合租一所房子時開始開發FTX，Gary Wang為于2019年推出的交易所編寫代碼。兩人一起生活在香港，最近在巴哈馬群島。SBF擁有Alameda公司90%的股份，而Gary Wang只擁有10%的股份。Gary Wang一直擔任Alameda的首席執行官，直到去年年底任命Caroline Ellison為首席執行官。

根據CFTC的指控，Gary Wang幫助創建了基礎代碼，使Alameda能夠在FTX “保持無限的信用額度”，Wang還幫助創建了其他途徑，使Alameda在平臺上進行交易時具有不公平的優勢，包括更快的執行時間。法律專家表示，轉移到Alameda的錢很難解釋為管理不善，而不是欺詐，他前同事的證詞可能對SBF造成毀滅性打擊。在其他案件中，面對這樣的證人，被告試圖扭轉局面，把合作者描繪成真正的壞人，現在撒謊是為了保全自己。

此前12月22日消息，Alameda前CEO和FTX聯創已分別對美檢察官提出的刑事指控和美CFTC提出的欺詐指控認罪；美SEC指控Caroline Ellison和Gary Wang欺詐FTX投資者，兩人已經同意兩項和解協議。[2022/12/26 22:07:56]

被攻擊合約：

BAYC母公司Yuga Labs CEO：公開BAYC創始人身份對其非常危險:2月18日消息，BAYC母公司Yuga Labs CEO Nicole Muniz批評Buzzfeed揭露了Bored Ape Yacht Club創始人的身份，并表示公開他們的身份對他們和他們的家人來說是非常非常危險的。如果是為了某件事，那就沒問題，但人們從此次公開得到的唯一一件事就是知道他們的真實姓名。

此前消息，BuzzFeed News披露Bored Ape Yacht Club（BAYC）兩名創始人“Gargamel”和“Gordon Goner”的真實身份：32歲的作家兼編輯Greg Solano和35歲的Wylie Aronow。Greg Solano曾就讀于弗吉尼亞大學，在一些文學網站上擔任編輯和書評人，與一位游戲設計師合著一本關于魔獸世界的書。Wylie Aronow在2018年購買域名bitmex.guru，與Bitmex產生紛爭。BAYC另外兩位聯合創始人“Emperor Tomato Ketchup”和“No Sass”的真實身份仍然未知。[2022/2/18 10:01:07]

0x5A9Fd7c39a6C488E715437D7b1f3C823d5596eD1--代理合約

聲音 | 歐盟競爭事務專員：Libra將建立危險的獨立經濟體:據BeIncrypto今日消息，近日，歐盟競爭事務專員Margrethe Vestager最近在接受采訪時表示，Libra將創建一個危險的“獨立經濟體”。她對其涉及的諸多風險持謹慎的態度，同時認為政府需要放慢腳步。Vestager并沒有完全否定Libra，她聲稱，關于公司發行自己的貨幣仍然存在“很多很多問題”。令事情更難的是，加密貨幣仍然是一個主要問題。（beincrypto）[2019/10/2]

0x73a499e043b03fc047189ab1ba72eb595ff1fc8e--邏輯合約

攻擊者地址: ?

0xC6f2bDE06967E04caAf4bF4E43717c3342680d76 -- 部署地址

0x878099F08131a18Fab6bB0b4Cfc6B6DAe54b177E -- 收款地址

分析 | 比特幣在價格高點呈危險拋物線形 或跌破6000美元:據CCN消息，5月11日，美國加密貨幣交易所Coinbase創下BTC自去年9月以來的盤中新高點6,989美元，此舉反映交易商愿意在新建立的較高價位買入比特幣，導致拋物線形成。比特幣目前正處于牛市狂歡的中心，無論如何，它正在形成一種傳統上公認的拋物線模式。在其10年歷史的市場上，類似的拋物線形態已出現三次。前兩次拋物線形成發生在2013年，而另一次發生在2017年。每一次都以嚴重的崩盤告終，盡管后來又重新引發驚人的上行走勢。因此，比特幣或進一步進入其超買區域，漲至7,000美元至7,500美元之間，但該資產可能正在考慮大規模修正。根據上行通道的高度，比特幣的下行目標或很快收于6,000美元以下。[2019/5/12]

2.攻擊流程

攻擊調用流程

俄羅斯VTB銀行首席執行官：加密貨幣投資非常危險:近期，幾位俄羅斯金融專家對比特幣及其他加密貨幣近幾周內的走勢發表了言論。Sberbank銀行負責人表示：加密貨幣正在逐漸成為俄羅斯日常生活的一部分，而作為VTB國際組織的負責人Riccardo Orcel卻表示：俄羅斯對比特幣的興趣已經被媒體夸大。Etoro分析師Mikhail Maschenko表示：隨著加密貨幣市場變的越來越不穩定和對比特幣的需求越來越大，很多專業投資者將其視為避險資產。[2017/11/28]

攻擊者構造 payload 并調用被攻擊合約 0x5a9fd7c3 的 swapAndStartBridgeTokensViaCBridge 函數:

具體使用的 Payload 如下--圖中選中部分即為利用授權轉賬（transferFrom）部分的 payload：

調用一次正常50刀的跨鏈橋功能（為了能正常調用 swapAndStartBridgeTokensViaCBridge 函數）:

在 payload 中包括多個call方法(調實際用transferFrom)。讓 0x5a9fd7c3 調用 37 個call，借此利用多個錢包對于 0x5a9fd7c3 合約的授權(approve)將錢包資產轉賬到攻擊者地址：

后續執行正常的跨鏈橋邏輯 _startBridge(_cBridgeData); 這也是為什么第一個 swap 是正常的，這樣才能讓后續邏輯正常執行下去:

3.漏洞細節

導致本次問題的根本原因被攻擊合約0x5a9fd7c3的邏輯合約存在一個批量讓call 調用傳入數據的函數 swapAndStartBridgeTokensViaCBridge:

該合約將會取出payload中的多個_swapData 數據結構并調用，LibSwap.swap(...);實現如下：

借此，攻擊者利用該合約的 call 將各個錢包對 0x5a9fd7c3 合約的代碼授權轉走了多個錢包中的各種代幣。

4.項目方進展

在事件發生后，項目方第一時間對合約可能的方法進行了停用，并為其審計和安全性問題進行致歉:

而后，項目方還聯系了黑客，希望能與其取得聯系并和平解決：

同時，最快的時間將漏洞合約修復后上線：

并將錢包（以Matic為例）對于之前被攻擊合約的授權取消，對新的合約進行了重新授權：

最后，將用戶資產進行補回：

同時我們關注到，其在 polygon 鏈上的合約也已實現了新的部署：

總結

此次攻擊的根本原因是項目方對于 swapAndStartBridgeTokensViaCBridge 合約的實現過度自由化所導致的 call 調用注入，但項目方積極的面對問題的態度和后續補救的及時性值得學習和肯定。不貴于無過，而貴與改過。

但我們仍希望能將錯誤扼殺在發生之前，應從他人的錯誤中學習并避免自己未來的錯誤，正如 Li.Finance 所說的那樣：“我們的使命是最大化用戶體驗，現在我們痛苦地了解到，為了遵循這種精神，我們的安全措施必須大幅改進。”

近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：WANGARARYDGEWANDSUGAR幣Necessary Genuine KeyEdgeSwap

UNI