區塊鏈:危險的授權轉賬，Li.Finance攻擊事件始末-ODAILY_Bridge Protocol

一、前言

北京時間3月20日晚，知道創宇區塊鏈安全實驗室監測到以太坊上分布式跨鏈協議Li.Finance受到了攻擊，攻擊者執行了37次call注入獲取了多個錢包中約60萬美元的資產。此次資產損失并沒有非常大，但項目方對于攻擊的處理非常積極并值得學習與肯定(見后文)，目前項目方已補償了協議損失并修復后重新部署了協議。知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。

二、分析

1.攻擊者相關信息

攻擊tx：0x4b4143cbe7f5475029cf23d6dcbb56856366d91794426f2e33819b9b1aac4e96

BAYC母公司Yuga Labs CEO：公開BAYC創始人身份對其非常危險:2月18日消息，BAYC母公司Yuga Labs CEO Nicole Muniz批評Buzzfeed揭露了Bored Ape Yacht Club創始人的身份，并表示公開他們的身份對他們和他們的家人來說是非常非常危險的。如果是為了某件事，那就沒問題，但人們從此次公開得到的唯一一件事就是知道他們的真實姓名。

此前消息，BuzzFeed News披露Bored Ape Yacht Club（BAYC）兩名創始人“Gargamel”和“Gordon Goner”的真實身份：32歲的作家兼編輯Greg Solano和35歲的Wylie Aronow。Greg Solano曾就讀于弗吉尼亞大學，在一些文學網站上擔任編輯和書評人，與一位游戲設計師合著一本關于魔獸世界的書。Wylie Aronow在2018年購買域名bitmex.guru，與Bitmex產生紛爭。BAYC另外兩位聯合創始人“Emperor Tomato Ketchup”和“No Sass”的真實身份仍然未知。[2022/2/18 10:01:07]

被攻擊合約：

聲音 | 李禮輝：區塊鏈原代碼基本都不是中國自己的 這很危險:據新浪財經消息，由財經雜志主辦的主題為“全球格局變化下的應對與抉擇”的2019三亞·財經國際論壇于12月7日在海南三亞召開。中國互聯網金融協會區塊鏈工作組組長、中國銀行原行長李禮輝出席并演講。李禮輝表示，區塊鏈的技術已經得到了初步的形成，但是到現在為止我們的底層技術還不成熟，我們的規模化、可靠運用的瓶頸還沒有突破。現在區塊鏈所采用原代碼基本上都不是中國自己的，這種技術性的依賴會造成未來發展比較大的問題，這是很危險的。[2019/12/7]

0x5A9Fd7c39a6C488E715437D7b1f3C823d5596eD1--代理合約

0x73a499e043b03fc047189ab1ba72eb595ff1fc8e--邏輯合約

動態 | 歐洲央行官員稱臉書天秤座貨幣“誘人但危險”:歐洲央行(ECB)一位高級官員周一概述了擬議中的臉書天秤座(Libra)加密貨幣存在的問題。這是政府官員發出的一系列警告中的最新一例。歐洲央行行政長官伊夫梅爾施(Yves Mersch)表示：“我真誠地希望歐洲人民不要拋棄現有支付解決方案和渠道的安全性和穩健性，轉而接受臉書那誘人但危險的承諾。“　在法蘭克福法律會議上的一次演講中，他諷刺地指出，天秤座加密貨幣的創造者因為在社交媒體上處理個人隱私數據正在受到美國和歐盟立法者的調查。默施提出的另一個擔憂是，天秤座貨幣將由一個在支付、技術、電子商務和電信領域的同業聯盟發行。該聯盟被稱為天秤座協會，它將控制區塊鏈和收取鑄幣稅收入。天秤座協會成員包括萬事達、貝寶、易趣和優步。（新浪財經）[2019/9/3]

攻擊者地址:

分析 | 75%的美國投資者認為比特幣“非常危險”:據coindesk報道，蓋洛普和富國銀行今日公布的一項新調查顯示，75%擁有超過一萬美元股票，債券和共同基金的美國投資者認為比特幣是一種“非常冒險”的投資。該民意調查面向美國近2000名成年人，只有2％的人持有比特幣，超過70％的人“對購買比特幣毫無興趣”。另有26％的人“很感興趣”，但不打算最近購買任何加密貨幣。雖然有75％的人認為比特幣“風險很大”，只有2％的人認為比特幣“風險太大”，23％的人認為比特幣至少“有點風險”，不到0.5％認為比特幣“根本沒有風險”。[2018/7/31]

0xC6f2bDE06967E04caAf4bF4E43717c3342680d76--部署地址0x878099F08131a18Fab6bB0b4Cfc6B6DAe54b177E--收款地址

金色財經現場報道Distributed Lab創始人：目前加密貨幣的營銷方式非常危險:金色財經現場報道，今日在Coindesk 2018共識會議上，Distributed Lab的創始人Pavel Kravchenko表示區塊鏈無法驗證任何數據，不允許即時交易、不可變、不加密、不能替代服務器。 同時，他也給出了區塊鏈的五個用例，即投票、公共注冊、供應鏈、分散交易及調和。Pavel認為，目前加密貨幣的營銷方式是非常危險的，“必須在其他人富起來之前現在立刻購買比特幣”的宣傳方式是錯誤的方式。[2018/5/15]

2.攻擊流程

攻擊調用流程攻擊者構造payload并調用被攻擊合約0x5a9fd7c3的swapAndStartBridgeTokensViaCBridge函數

具體使用的Payload如下--圖中選中部分即為利用授權轉賬部分的payload：

調用一次正常50刀的跨鏈橋功能

在payload中包括多個call方法(調實際用transferFrom)。讓0x5a9fd7c3調用37個call，借此利用多個錢包對于0x5a9fd7c3合約的授權(approve)將錢包資產轉賬到攻擊者地址：

后續執行正常的跨鏈橋邏輯_startBridge(_cBridgeData);。這也是為什么第一個swap是正常的，這樣才能讓后續邏輯正常執行下去

3.漏洞細節

導致本次問題的根本原因被攻擊合約0x5a9fd7c3的邏輯合約存在一個批量讓call調用傳入數據的函數swapAndStartBridgeTokensViaCBridge

該合約將會取出payload中的多個_swapData數據結構并調用，LibSwap.swap(...);實現如下：

借此，攻擊者利用該合約的call將各個錢包對0x5a9fd7c3合約的代碼授權轉走了多個錢包中的各種代幣。

4.項目方進展

在事件發生后，項目方第一時間對合約可能的方法進行了停用，并為其審計和安全性問題進行致歉。

而后，項目方還聯系了黑客，希望能與其取得聯系并和平解決：

同時，最快的時間將漏洞合約修復后上線：

并將錢包對于之前被攻擊合約的授權取消，對新的合約進行了重新授權：

最后，將用戶資產進行補回：

同時我們關注到，其在polygon鏈上的合約也已實現了新的部署：

三、總結

此次攻擊的根本原因是項目方對于swapAndStartBridgeTokensViaCBridge合約的實現過度自由化所導致的call調用注入，但項目方積極的面對問題的態度和后續補救的及時性值得學習和肯定。不貴于無過，而貴與改過。但我們仍希望能將錯誤扼殺在發生之前，應從他人的錯誤中學習并避免自己未來的錯誤，正如Li.Finance所說的那樣：

我們的使命是最大化用戶體驗，現在我們痛苦地了解到，為了遵循這種精神，我們的安全措施必須大幅改進。

近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：區塊鏈比特幣BRIDGEDGE女生報區塊鏈專業怎么樣啊比特幣價格實時行情軟件Bridge ProtocolSMUDGE

DOT