2024 年 7 月 16 日, LIFI的新 facet 合約中存在一個嚴重漏洞。攻擊者利用此漏洞竊取了為LIFI合約批准了超額金額的用戶的資金。此次攻擊共竊取了約 1160 萬美元,影響了以太坊和Arbitrum上多個用戶錢包中的多項資產。
漏洞分析
攻擊者瞄準了depositToGasZipERC20 () 函數。該函數使用LibSwap.swap () 函數將 ERC20 代幣兌換為原生代幣,但未根據已批准的合約地址和函數白名單驗證用戶輸入的_swapData 。由於缺乏驗證,攻擊者可以對任何合約執行任意調用。
以下是其中一個漏洞交易: https://etherscan.io/tx/0xd82fe84e63b1aa52e1ce540582ee0895ba4a71ec5e7a632a3faa1aff3e763873
結論
作為開發人員,在構建自己的項目時,不要信任任何用戶輸入。任何給定的參數都必須經過代碼的仔細驗證。對不受信任的合約的調用可能會帶來一些意想不到的風險或錯誤。外部調用可能會觸發惡意代碼,無論是在目標合約內還是在其生態系統中。每個外部調用都應被視為潛在的安全風險,必須極其謹慎地處理。
此外,強烈建議進行安全審計,不僅針對第一個發佈版本,還針對將來添加的任何新功能。由於升級過程可能會引發各種問題,因此也應進行徹底審計。
作為區塊鏈用戶,請記住:批准代幣意味著允許陌生人隨意使用它們。避免無限批准,始終為每筆交易分配所需的確切金額,即使會產生額外費用。主動審查並撤銷不必要的批准,以保護您的資金。
感謝閱讀 Verichains!免費訂閱以接收新帖子並支持我的工作。
