Beosin：LI.FI攻击者利用项目合约的call注入将授权给合约的用户资产转走

2月21日，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，Hope Finance项目Rug Pull。Beosin安全团队分析发现攻击者(0xdfcb)利用多签钱包(0x1fc2)执行了修改TradingHelper合约的router地址的交易，从而使GenesisRewardPool合约在使用openTrade函数进行借贷时，调用TradingHelper合约SwapWETH函数进行swap后并不会通过原本的sushiswap的router进行swap操作，而是直接将转入的代币发送给攻击者(0x957d)从而获利。攻击者共两次提取约180万美金。 Beosin Trace追踪发现攻击者已将资金转入跨链合约至以太链，最终资金都已进入tornado.cash。 Beosin提醒用户：请勿在0x1FC2..E56c合约进行抵押操作，建议取消所有与该项目方相关的授权。

金色财经报道，据Beosin旗下EagleEye安全风险监控、预警与阻断平台监测显示，Socket协议遭受攻击者call注入攻击，导致大量授权用户资金被盗。本次攻击主要是由于Socket合约的performAction函数存在不安全的call调用。 该函数功能是调用者可以将WETH兑换为ETH，并且调用者需要通过WETH的call将转入合约的WETH兑换为ETH，否则将不能通过余额检查。按理说函数中的call调用只能调用WETH合约的withdraw函数，但是项目方未考虑到调用者转入的WETH数量为0的情况，导致调用者可以在call中去调用其他指定函数，并且能通过余额检查。 攻击者通过构造calldata，调用任意代币的transferfrom，将其他用户授权给该合约的代币转移到攻击者地址。目前攻击者将被盗资金兑换为ETH，并保存在攻击者地址上，Beosin将对资金进行持续监控。

金色财经报道，跨链基础设施 Magpie Protocol 发文称合约存在漏洞，督促曾对授权过其合约且钱包内仍持有资金的用户尽快取消各条链上的相关合约授权。

9月5日消息，专注于NFT领域风险的调查项目Rug Pull Finder自身的NFT合约漏洞被利用，其中两个地址在免费铸造阶段利用了该项目中的一个技术缺陷，从可能的1221枚NFT中窃取了450枚NFT，这些NFT原本限制为每个地址只能铸造一个。 团队在漏洞利用后不久向其中一名涉案人员提供交易，向他们支付2.5枚ETH的赏金以恢复330枚NFT，并被接受。（Cointelegraph）

金色财经报道，跨链交易聚合器LI.FI发文表示，今日早些时候发生的智能合约漏洞已被遏制，受影响的智能合约部分已被禁用。目前用户不再面临风险。受影响的钱包仅限于设置了无限授权的钱包，且数量非常少。LI.FI团队正在与适当的执法机构和相关第三方（包括来自行业的安全团队）合作，以追踪被盗资金。团队将尽快发布更详细的事后分析。

6月19日消息，Beosin Alert发推称，Ara项目被攻击的根本原因是合约中处理权限存在漏洞。0xB817开头地址批准了大量ARA与USDT交换合约，它没有限制从调用者转移的用于交换的资金。