Tấn công LIFI: Cuộc gọi tùy tiện và rủi ro phê duyệt vô hạn

Vào ngày 16 tháng 7 năm 2024, một lỗ hổng nghiêm trọng đã bị khai thác trong hợp đồng khía cạnh mới của LIFI . Kẻ tấn công đã sử dụng lỗ hổng này để đánh cắp tiền từ những người dùng đã phê duyệt nhiều hơn mức cần thiết cho các hợp đồng LIFI . Khoảng 11,6 triệu USD đã bị đánh cắp trong cuộc tấn công, ảnh hưởng đến nhiều tài sản trong ví của một số người dùng trên Ethereum và Arbitrum.

Phân tích khai thác

• Kẻ tấn công đã nhắm mục tiêu vào hàm DepositToGasZipERC20 (). Hàm này sử dụng hàm LibSwap.swap () để hoán đổi mã thông báo ERC20 thành mã thông báo gốc nhưng không xác thực _swapData đầu vào của người dùng dựa trên danh Danh sách trắng gồm các địa chỉ và chức năng hợp đồng đã được phê duyệt. Việc thiếu xác thực này cho phép kẻ tấn công thực hiện các lệnh gọi tùy ý tới bất kỳ hợp đồng nào.

  

  

• Kẻ tấn công khai thác điều này để thực hiện lệnh gọi transferFrom () trong hợp đồng Token ERC20. Điều này cho phép kẻ tấn công sử dụng hợp đồng LIFI làm người chi tiêu để chuyển mã thông báo trực tiếp từ ví của người dùng được phê duyệt sang ví của kẻ tấn công. Cuộc tấn công này ảnh hưởng đến tất cả người dùng đã phê duyệt số tiền vượt quá số tiền gửi thực tế của họ khi sử dụng hợp đồng LIFI .

• Đây là một trong những tx khai thác: https://etherscan.io/tx/0xd82fe84e63b1aa52e1ce540582ee0895ba4a71ec5e7a632a3faa1aff3e763873

Phần kết luận

Là một nhà phát triển , khi xây dựng dự án của riêng mình, bạn không tin tưởng bất kỳ thông tin đầu vào nào của người dùng. Bất kỳ tham số nào được đưa ra đều phải được xác nhận cẩn thận bằng mã. Lệnh gọi đến các hợp đồng không đáng tin cậy có thể gây ra một số rủi ro hoặc lỗi không mong muốn. Các lệnh gọi bên ngoài có thể kích hoạt mã độc, trong hợp đồng mục tiêu hoặc trên toàn hệ sinh thái của nó. Mọi cuộc gọi bên ngoài phải được coi là một rủi ro bảo mật tiềm ẩn và phải được xử lý hết sức thận trọng.

Ngoài ra, chúng tôi đặc biệt khuyên bạn nên tiến hành Kiểm định bảo mật , không chỉ đối với phiên bản phát hành đầu tiên mà còn đối với bất kỳ tính năng mới nào được thêm vào trong tương lai. Vì quá trình nâng cấp có thể gây ra nhiều vấn đề khác nhau nên nó cũng cần được kiểm tra kỹ lưỡng.

Là người dùng blockchain, hãy nhớ: việc phê duyệt mã thông báo sẽ cấp cho người lạ quyền truy cập để chi tiêu theo ý họ . Tránh phê duyệt vô hạn, luôn phân bổ số tiền chính xác cần thiết cho mỗi giao dịch, ngay cả khi nó phát sinh thêm phí. Chủ động xem xét và thu hồi các phê duyệt không cần thiết để bảo vệ tiền của bạn ngay bây giờ .