非法资金流动案例研究：LI.FI 攻击

非法资金流动案例研究：LI.FI 攻击

案例背景

2024 年 7 月 16 日，跨链桥接和 DEX 聚合器 Li.Fi遭遇重大安全漏洞，该漏洞利用了 Li.Fi 钻石合约。用户的各种稳定代币和其他资产约 $$11.6\mathrm{M}$ 被盗。攻击者能够从对被攻击合约进行了无限批准的用户那里榨取资金。

• 攻击者地址0x8b3cb6bf982798fba233bca56749e22eec42dcf3
• Vulnerable Contract: 0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae
• 攻击交易示例：0xd82f, 0x86fe, 0x606a

漏洞存在于 GasZipFacet 合约的 function depositToGasZipERC20() 中。GasZipFacet "合约是LI.FI团队在攻击发生前五天部署的，目的是为桥接交易提供天然气燃料。函数 "depositToGasZipERC20() "包含一个用户控制参数"_swapData"，该参数后来被传递给函数调用 "LibSwap.swap()"。不幸的是，"LibSwap.swap "包含一个低级调用，可以使用攻击者控制的参数"_swapData "指定的调用目标和调用数据执行任意函数。攻击者利用这个 "任意调用漏洞"，从无限批准 Li.Fi Diamond 合同的用户处执行未经授权的转账。

资金流分析

2024 年 7 月 16 日，攻击者利用任意调用漏洞发起了近 100 笔 交易，在 30 分钟内向地址 0x8b3c转移了价值约 1,100 万美元的稳定代币（USDT、USDC、DAI）。随后，几乎所有被虹吸的稳定代币都被迅速换成了以太坊原生代币 ETH。攻击者使用的 DEX 包括 Uniswap、Metamask Swap 等。交换交易示例：0xdf9b, 0x11d, 0xb4a4.

交换交易0x8e27与Metamask Swap Spender互动的资金流示例。攻击者将非法获得的 333,258 USDT 交换成 97.16 ETH。使用 MetaSleuth 可以清楚显示所有池和代理。

在攻击发生后的两个小时内，所有被盗资产都转移到了攻击者控制的下游地址，原始攻击地址中的资产已所剩无几。共有 32 个下游地址直接连接到地址 0x8b3c（即与原始攻击地址相隔一跳）。其中，有 15 个地址从攻击地址只收到了 0.1 个 ETH。截至 2024 年 10 月 22 日，这 15 个地址持有的 ETH 尚未转出。其余地址已经处理了剩余的大量非法资金。

部分资金从受害者地址流向攻击者控制的下游地址：

在将非法资金转移到与地址 0x8b3c 相隔一跳的下游地址后，攻击者开始进一步分批转移资金。转移（洗钱）过程持续了近三个月。几乎所有非法资金最终都被转移到了龙卷风现金 (99.9%)，还有一小部分被发送到交易所eXch 直接兑现。攻击者用于与龙卷风现金路由器交互的交易共有 114 笔。Examples of transactions moving illicit gains to Tornado Cash: 0x07de, 0xfe82, 0x6a47, 0x8ea6.将非法所得转移到 eXch 的交易示例：0xaa89, 0x7e65, 0x8572, 0x625c, 0x2dd2, 0xda71.

部分资金从第 2 层地址（距离原始攻击地址 0x8b3c 2 跳）流向第 4 层地址：

第一批大规模转账发生在攻击发生后的第一周，即 7 月 16 日至 7 月 22 日。攻击者从地址 0x6a6d 向 Tornado Cash 转移了价值约 $$500mathrm{k}$ 的非法资产。攻击者转移非法资金的过程表现出明显的特征：他们将资金转移到远离攻击地址（高风险地址）的下游地址，逐渐将一部分资金转移到龙卷风现金公司。在第一批中，最长的转账路径达到20 跳。攻击者利用极深的洗钱路径来掩盖非法资金流。8 月至 10 月间，剩余的非法资金以同样的方式逐步转移到龙卷风现金公司。

将资金从地址 0x8e85（距离 0x8b3c一跳）转移到龙卷风现金路由器的转账批次示例：

如图所示，在 2024 年 8 月 13 日至 8 月 16 日期间，攻击者通过 12 跳路径向 Tornado Cash 逐步转移了 206 个 ETH。在地址 0xe9f7，攻击者将 204 ETH 分成两笔交易：100 个 ETH 被发送到龙卷风现金，而 104 个 ETH 被转发到更多的洗钱地址。这种拆分模式在整个转账过程中始终如一。也就是说，攻击者在每次涉及龙卷风现金的互动中都使用了一个新的、更深的地址。

打击工作

攻击发生两天后，LI.FI 正式发布了一份事件报告，声称他们已在所有链上成功禁用了易受攻击的合同面，并阻止了任何进一步的未经授权访问。LI.FI 启动了一项补偿计划，并向受影响的用户全额退款。 在追回被虹吸的资产方面，他们声称将继续与执法部门和相关第三方（包括业内的安全团队）合作，追踪并尝试追回被虹吸的资金。截至 2024 年 10 月 22 日，几乎所有非法资金都已转移到龙卷风现金，Li.Fi 尚未发布追踪报告。

一些相关地址和交易

| 地址 交易 非法资金流动 | :----------------------------------------:| :----------------------------------------------------------:| :----------------------:| | 0x8e85eace2fa757c1d97c5ebfb8b0622e5f23c5a1 | 0xe237, 0x0d23 | 206.49 ETH | | 0xcb7c341dc6172b642dcf4a14015be70a27e5b31e | 0x050c, 0x37d4| 873,568 usdt + 36.48 eth | | 0x7b93faf4a14015be70a27e5b31e | 0x7b93fa16c04cdcf91949d4f5f893f740992ae57e | 0x57ea, 0x52ac | 332.02 以太网 | 0x3462d2523cded523ad47c14111aa1dcbe7773675 | 0xc66d, 0xc0ff| 120.55 ETH | 0xd0be9c4c84068a9964c3781f540f703c300db268 | 0x0c3b, 0x1670 | 275.38 ETH |

资金流概览：

See more in MetaSleuth: https://metasleuth.io/result/eth/0x14c1597cc833783ed8ac08ecc9b704b0a398201d?source=c8cd3609-0402-45eb-bb9e-2f710bd66554