2024年7月16日,我们监控到了一笔Ethereum上的攻击事件,https://etherscan.io/tx/0xd82fe84e63b1aa52e1ce540582ee0895ba4a71ec5e7a632a3faa1aff3e763873
被攻击的协议为LI.FI Protocol,LI.FI Protocol是一个聚合协议。此次攻击中,攻击者共获利2,276,295 USDT折合227万USD。
首先,攻击者查询了地址0xabe45ea636df7ac90fb7d8d8c74a081b169f92ef的USDT余额,和该地址对余额对于LI.FI Protocol可以花费的额度。接着,攻击者调用了depositToGasZipERC20这个函数,
我们可以看到上述函数的具体代码实现,如下图:
我们可以看到,在函数depositToGasZipERC20中调用了LibSwap.swap函数,具体代码如下:
其中SwapData的结构如下:
我们可以看到,只要控制了swap函数的参数_swap,既可以利用LI.FI Protocol合约调用任意合约,传入任意参数。我们可以看到,攻击者传入的参数为:
根据SwapData的数据结构,我们可以看到,攻击者利用传入的参数调用了合约0xdac17f958d2ee523a2206206994597c13d831ec7: callTo(USDT),传入的inputData为:
由于0x23b872dd为transferFrom的signature,根据该函数的参数解析的数据为:
相当于利用LI.FI Protocol,从0xabe45ea636df7ac90fb7d8d8c74a081b169f92ef将2276295880553 USDT转给了0x8b3cb6bf982798fba233bca56749e22eec42dcf3,至此,攻击者完成了攻击。
本次漏洞的成因是被攻击合约对攻击者传入参数校验不严格,导致攻击者可以通过构造特殊inputData来使受害者合约调用任意合约并传入任意参数。最终,攻击者利用特殊的参数,使得受害者合约通过transferFrom将授权给其合约的代币转入到攻击者控制的地址。建议项目方在设计代码运行逻辑时要多方验证,合约上线前审计时尽量选择多个审计公司交叉审计。
1 普京:现在是创造增加数字资产和俄罗斯CBDC采用所需环境的时候
深潮 TechFlow 消息,据Bitcoin.com报道,俄罗斯总统弗拉基米尔·普京宣布,现在是创造增加数字资产和俄罗斯CBDC(数字卢布)采用所需环境的时候。在数字卢布试点测试阶段,已经进行了3万多笔交易,其中7,000多笔用于商品和服务的支付。据俄罗斯官方通讯社塔斯社报道,普京表示:“俄罗斯必须‘抓住时机’,及时建立法律框架和法规,发展基础设施,为数字资产在国内及与外国合作伙伴的流通创造条件
2 最新行情晚报:WLD价格达2.87美元/枚,日内涨幅3.05%
Worldcoin今日价格行情,WLD最新价格突破至$2.87,涨幅达3.05%,交易量$3.48亿依据k线图分析结果,目前属于震荡趋势。相比12:00较大幅上涨,比08:00有所回升,突破06:00的高点。价格和交易量同时上升通常表明市场有强劲的买盘支撑。买家愿意在更高的价格上进行大量交易,表明市场情绪乐观,看涨情绪浓厚。这种情况下,未来价格可能继续上涨,因为市场动能强劲,买盘持续增加。投资者应
BlockBeats 消息,7 月 20 日,据 HTX 行情信息,以太坊上涨触及 3500 美元,现报价 3496 美元,24 小时涨幅 2.45%。
4 Mantle核心贡献者于8小时前将625万枚MNT转入Bybit
BlockBeats 消息,7 月 19 日,据链上数据分析师 @ai_9684xtpa 监测,Mantle 核心贡献者于 8 小时前将 625 万枚 MNT 充值进 Bybit,价值 521 万美元。据悉,多签地址 0xc21...3b0E2 在 23 小时前收到 Mantle Core Contributor Budget 合约分发的 600 万枚代币,经过多次中转后通过地址 0x095...
7月19日消息,Solana基金会在X上宣布,为Solana Actions和Blinks Tools的开源开发者推出40万美元资助,已正式开始征集新赠款。获得基金会的资助的项目必须公开供他人使用、开源、有源代码可供基金会审查、具有创新性,并为生态系统增加价值。
美联储理事沃勒周三表示,美联储降息的时间"越来越近",但经济走势的不确定性令利率何时可能下调变得不明朗。"我相信目前的数据与实现'软着陆'相符,我将在未来几个月寻找支持这一观点的数据,"沃勒表示。他说:“虽然我不认为我们已经达到了最终目标,但我确实相信,我们正越来越接近有理由下调政策利率的时刻。”沃勒指出,经济增长目前正以"更为温和的步伐"向前推进,就业市场更加平衡,通胀也有所缓和。
津巴布韦矿业公司 Kuvimba Mining House 已为其在该国的黄金生产引入了基于区块链的矿山到市场可追溯系统。该系统确保 Kuvimba 的所有黄金从矿山到国际市场均可追溯。该国最大的黄金生产商 Kuvimba 强调透明度、合法性和负责任的采矿。Comstack 系统利用区块链技术,提高了可追溯性和对国际标准的遵守。该系统已在 Freda Rebecca 和 Jenna 矿山投入运行,
8 Solana网络每日非投票交易的7DMA达到4600万笔,为2022年1月以来最高
据The Block数据显示,Solana 网络每日非投票交易(non-vote transactions)的七天移动平均线 (7DMA) 达到 4600 万笔,为 2022 年 1 月以来的最高水平,这几乎是 2024 年 4 月下旬 2190 万笔交易的两倍。 非投票交易是指网络上与验证者投票过程无关的所有交易,这些交易可以包括各种活动,例如转账、智能合约交互和去中心化应用程序 (dApp)
9 持有超1000枚BTC的鲸鱼钱包年内增持145万枚BTC
CryptoQuant CEO Ki Young Ju 于 X 发文表示,比特币 OTC 市场增持趋势正在超越 CEX 市场。持有超 1000 枚 BTC 的鲸鱼钱包(包括现货 ETF 和托管钱包)今年增持了 145 万枚 BTC,总计 180 万枚 BTC。2021 年,全年约有 7 万枚 BTC 流入;现在是“每周”流入 10 万枚 BTC。
10 最新行情晚报:XRP瑞波币价格达0.6304美元/枚,日内涨幅3.07%
瑞波币XRP今日行情消息,XRP瑞波币最新价格:$0.6304,24小时涨14.26%,交易量$31.83亿从k线图分析结果来看,目前是上涨趋势。相比09:00较大幅上涨,比04:00有所下降。价格上升但交易量下降,通常表明市场上涨动能减弱,买家数量减少。这种量价背离现象可能是由于缺乏卖盘导致的。在这种情况下,未来价格可能会出现回调或横盘整理,因为缺乏交易量的支持,价格上涨难以持续。投资者需警惕高
