? ??事件背景
2024年7月16日,著名的鏈橋(cross-chain bridge)和去中心化交易所聚合器(DEX aggregator)?Li.Fi[1]?遭遇了重大的安全攻擊。黑客利用了?Li.Fi Diamond Contract[2],其用戶的價值約 1160 萬美元的加密貨幣資產(包含多種穩定幣)被盜。向被攻擊合約進行過無限制 Approve 操作的用戶地址幾乎完全被黑客抽干。
?攻擊者以太坊地址:?0x8b3cb6bf982798fba233bca56749e22eec42dcf3[3]?有漏洞的合約地址:?0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae[4]?觸發攻擊的交易實例:?0xd82f[5],?0x86fe[6],?0x606a[7]
攻擊利用的漏洞存在于?
?合約的?
?函數[8],該合約在攻擊發生五天前剛剛被Li.Fi團隊部署。函數
?接收了一個由用戶控制的參數
,這個參數后來被傳遞到對函數
的調用中。不巧的是,函數
內包含了一個可以執行任意函數調用的底層調用過程,這個底層調用的調用目標和調用參數完全由攻擊者可以控制的
控制。黑客利用這樣的 “arbitrary call vulnerability” 成功發起了未經授權的轉賬,從向 Li.Fi Diamond Contract 進行過無限制 Approve 操作的用戶地址中抽干了所有資金。
? ??使用MetaSleuth進行資金流分析
2024年7月16日,攻擊者發起了近百條交易[9]觸發被攻擊合約中的 “arbitrary call vulnerability”,在30分鐘內轉走了受害者賬戶地址中累積約 1160 萬美元的穩定幣(USDC, USDT, DAI等)。然后,幾乎所有被盜的穩定幣都快速被黑客swap為了以太坊的原生代幣ETH。黑客使用的DEX包含 Uniswap, Metamask Swap 等。swap 交易的例子有:?0xdf9b[10],?0x11d[11],?0xb4a4[12]。
下面是一個攻擊者發起的 swap 交易?0x8e27[13],利用了?Metamask Swap Spender[14]。攻擊者將非法獲取的 333,258 USDT 轉換為了 97.16 ETH。使用 Metasleuth 可以清晰地看到交易內部的資金流動情況,包含所有的代幣交換池和聚合代理。
在攻擊發生后的兩小時內,所有被盜資產都被轉移到了攻擊者控制的下游地址中,用于發送攻擊交易的初始攻擊地址?0x8b3c[15]?中已經沒有任何被盜的 token 了。和?0x8b3c[16]直接相連的地址(即距離初始攻擊地址一跳的地址)共有32個,其中有15個地址僅收到了0.1ETH的贓款。直到2024年10月23日,這些地址中的少量ETH仍未被轉出。其他的17個地址處理了剩余絕大部分贓款的洗錢過程。
下圖展示了資金從部分受害者地址流向被攻擊者控制的下游地址的流動:
在將非法資產轉移到距離初始攻擊地址0x8b3c[17]一跳的地址后,黑客開始分批次地對這些地址中的贓款進行洗錢轉移。洗錢轉移過程持續了近三個月,幾乎所有(大于99%)的非法資金最終被轉移到?Tornado Cash[18],剩下的少量黑錢被轉移到交易所?eXch[19]?直接進行兌現。黑客總共發起了114條交易與 Tornado Cash 進行互動。將非法資金轉入 Tornado Cash 的交易實例:?0x07de[20],?0xfe82[21],?0x6a47[22],?0x8ea6[23];將非法資金轉入 eXch 的交易實例:?0xaa89[24],?0x7e65[25],?0x8572[26],?0x625c[27],?0x2dd2[28],?0xda71[29]。
下圖是部分資金從第二層洗錢地址(距離初始攻擊地址兩跳)到第四層洗錢地址(距離初始攻擊地址四跳)的轉移路徑:
第一批次大規模轉移發生在攻擊發生后的一周內,即7月16日至7月22日之間。攻擊者將價值大約 50 萬美元的非法資產從地址?0x6a6d[30]?轉移到 Tornado Cash。攻擊者的非法資金轉移顯示出了明顯的特征:他們將資金轉移到遠離攻擊地址(高風險地址)的下游地址,并逐步將部分資金存入 Tornado Cash。在第一批轉移中,最長的轉移路徑達到了20跳。攻擊者使用了極深的洗錢路徑來掩蓋非法資金流動。在 8 月至 10 月期間,剩余的非法資金以具有相同特征的批次被逐步轉入 Tornado Cash。
一個轉移批次的實例,黑客將地址?0x8e85[31]?(距離0x8b3c[32]一跳) 中的黑錢轉移到 Tornado Cash,表現出了上述特征:
如圖所示,在2024 年8 月13日至8月16日期間,攻擊者通過長達12跳的路徑逐步將 206 ETH 轉移到 Tornado Cash。在地址?0xe9f7[33]?處,攻擊者將 204 ETH 拆分為兩筆交易:發送100 ETH到Tornado Cash,剩余的104 ETH則轉移到更深的洗錢地址。這種拆分的模式出現在整個轉移過程中,攻擊者在每次涉及 Tornado Cash 的操作中,都會使用新的、更深層的地址。
? ??官方措施與當前進展
在攻擊發生兩天后,LI.FI 官方發布了一份事件報告[34],聲稱他們已成功禁用了所有鏈上的可能受到相同攻擊的合約模塊,阻止了所有進一步的對用戶地址的未授權訪問。LI.FI 啟動了補償計劃,并全額賠償了受影響的用戶。對于被盜資產的追回,他們表示將繼續與執法部門及相關第三方合作,包括行業內的安全團隊,以追蹤并嘗試追回被盜資金。截至2024年10月 22日,幾乎所有非法資金已轉移至 Tornado Cash,但 Li.FI 尚未發布追蹤報告。
? ??相關地址和交易
| 地址 | 交易 | 非法資金流 |
| 0x8e85eace2fa757c1d97c5ebfb8b0622e5f23c5a1 | 0xe237[35],?0x0d23[36] | 206.49 ETH |
| 0xcb7c341dc6172b642dcf4a14015be70a27e5b31e | 0x050c[37],?0x37d4[38] | 873,568 USDT + 36.48 ETH |
| 0x7b93fa16c04cdcf91949d4f5f893f740992ae57e | 0x57ea[39],?0x52ac[40] | 332.02 ETH |
| 0x3462d2523cded523ad47c14111aa1dcbe7773675 | 0xc66d[41],?0xc0ff[42] | 120.55 ETH |
| 0xd0be9c4c84068a9964c3781f540f703c300db268 | 0x0c3b[43],?0x1670[44] | 275.38 ETH |
使用?Metasleuth[45]?構建的詳細資金流轉移圖:
在 Metasleuth 中詳細探索整個非法資金流動:?https://metasleuth.io/result/eth/0x14c1597cc833783ed8ac08ecc9b704b0a398201d?source=c8cd3609-0402-45eb-bb9e-2f710bd66554?[46]
Twitter中文:https://x.com/MSCommunity_CN
Twitter英文:https://x.com/MetaSleuth
References
?Li.Fi:?https://x.com/lifiprotocol
?Li.Fi Diamond Contract:?https://etherscan.io/address/0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae
?0x8b3cb6bf982798fba233bca56749e22eec42dcf3:?https://etherscan.io/address/0x8b3cb6bf982798fba233bca56749e22eec42dcf3
?0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae:?https://etherscan.io/address/0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae
?0xd82f:?https://etherscan.io/tx/0xd82fe84e63b1aa52e1ce540582ee0895ba4a71ec5e7a632a3faa1aff3e763873
?0x86fe:?https://etherscan.io/tx/0x86fe6933f03c14f75167e560e6635a23fab59b268e68c86d60c4d46afe0aeabc
?0x606a:?https://etherscan.io/tx/0x606a49471ebcb608bf034abd982750d626b7eaf45a963118d5aae5baae4a2da2
?函數:?https://etherscan.io/address/0xf28a352377663ca134bd27b582b1a9a4dad7e534#code
?交易:?https://etherscan.io/tokentxns?a=0x8b3cb6bf982798fba233bca56749e22eec42dcf3&p=4
?0xdf9b:?https://etherscan.io/tx/0xdf9b2b855e5a55f4add1b95f29f4c2be6917560c30e0de11ea55270eb711886e
?0x11d:?https://etherscan.io/tx/0x11ddeef2d279de82717272301d6f6e08795a8ac83b90972c71761e015a9c644c
?0xb4a4:?https://etherscan.io/tx/0xb4a4cb9084043b6fe2d789de51d6a15b6ce321cb6334ca033b5824562b2f5904
?0x8e27:?https://etherscan.io/tx/0x8e27acf21089de72cd927e2efc44d99af9494d56c21fd49eaf0c5b7e56e7316e
?Metamask Swap Spender:?https://etherscan.io/address/0x74de5d4fcbf63e00296fd95d33236b9794016631
?0x8b3c:?https://etherscan.io/address/0x8b3cb6bf982798fba233bca56749e22eec42dcf3
?0x8b3c:?https://etherscan.io/address/0x8b3cb6bf982798fba233bca56749e22eec42dcf3
?0x8b3c:?https://etherscan.io/address/0x8b3cb6bf982798fba233bca56749e22eec42dcf3
?Tornado Cash:?https://etherscan.io/address/0xd90e2f925da726b50c4ed8d0fb90ad053324f31b
?eXch:?https://etherscan.io/address/0xf1da173228fcf015f43f3ea15abbb51f0d8f1123
?0x07de:?https://etherscan.io/tx/0x07dec7b53ed73e310757b9cc4d73abac6726f867a68a4910082b59ce224a5a6e
?0xfe82:?https://etherscan.io/tx/0xfe82ce08803579edd2ad69f7058cf52310b231890ec156ef5dcd046b5b296d03
?0x6a47:?https://etherscan.io/tx/0x6a47684a769e4ac476506d245137839013e4526b437011d543be45886bc3713f
?0x8ea6:?https://etherscan.io/tx/0x8ea6ca1047fd0a8cecafb38bb10a1029f82ef88932c1779de6b2a2ef5580d65e
?0xaa89:?https://etherscan.io/tx/0xaa89e7ab86da0f57640c6b40186f41d9a074c4f365cde6541965c1c908d7ded9
?0x7e65:?https://etherscan.io/tx/0x7e656b657609910ed45590cc855738839e44b7e0589e9e5568991d8b5ae2c498
?0x8572:?https://etherscan.io/tx/0x8572fa167f89cdc65a8cbe5526b04024d372bd9b2ec7f9f161fbf08c71dd7f33
?0x625c:?https://etherscan.io/tx/0x625c6c15cad716f205ed2c3d67fc91b5893f234dacf43dffa8b899940f08917a
?0x2dd2:?https://etherscan.io/tx/0x2dd2dfda6c8db4372b39bb902f806a741b451eb38ab9d9dd0161532e69465972
?0xda71:?https://etherscan.io/tx/0xda715e9430bd82a40fb3b15caa7bbf4e51d00a11e6bf93f0c2c777a1689503ea
?0x6a6d:?https://etherscan.io/address/0x6a6df7cf485fdc6e6f7d4a8b818e1eacc31e664e
?0x8e85:?https://etherscan.io/address/0x8e85eace2fa757c1d97c5ebfb8b0622e5f23c5a1
?0x8b3c:?https://etherscan.io/address/0x8b3cb6bf982798fba233bca56749e22eec42dcf3
?0xe9f7:?https://etherscan.io/address/0xe9f7cd0c410257850324d86536bd165cf4306e80
?事件報告:?https://li.fi/knowledge-hub/incident-report-16th-july/
?0xe237:?https://etherscan.io/tx/0xe2379835bfd6985949e741562d23e1e3fae892546d7a7d68c3812e1319f26415
?0x0d23:?https://etherscan.io/tx/0x0d23ba0e8b53787893d7ba8bf0de75fafb2b81d13377ae19b22ff8ab812d0608
?0x050c:?https://etherscan.io/tx/0x050c935a0fb442aa5b4b669c7fa84bbf88bf3f6a43c50eb176d472cd4ac1d3d9
?0x37d4:?https://etherscan.io/tx/0x37d411e434f6a5124a5e615f767dcbfc668d68355f8baac2ec5fd7ff4050ee94
?0x57ea:?https://etherscan.io/tx/0x57eaa1a8acf151230f19c38a1c8470d93baf7341e45ddcb20cf7d586332cf992
?0x52ac:?0x52acb20f7c2a235698f4a6238005d90d1364be6b62aa0f1595406bc07ab20260
?0xc66d:?https://etherscan.io/tx/0xc66d0bb572f8d7589c029f73d1c317d087bb29bfb9d72bebce2baf695620655f
?0xc0ff:?https://etherscan.io/tx/0xc0ffe4343e7adad323fa5169e375148828818c070f46da9cd00080e16cc024b4
?0x0c3b:?https://etherscan.io/tx/0x0c3b0192ec5730a9b608c965f7e5c2361e03704a762adcea18204c26262a2ef3
?0x1670:?https://etherscan.io/tx/0x1670fbf41c53fc0e4382b98555fb7e9d1e1b519608b999581b0485755d6d712f
?Metasleuth:?https://metasleuth.io/result/eth/0x14c1597cc833783ed8ac08ecc9b704b0a398201d?source=c8cd3609-0402-45eb-bb9e-2f710bd66554
:?https://metasleuth.io/result/eth/0x14c1597cc833783ed8ac08ecc9b704b0a398201d?source=c8cd3609-0402-45eb-bb9e-2f710bd66554。
Comments