非法資金流向案例研究:LI.FI 攻擊事件
案例背景
2024 年 7 月 16 日,跨鏈橋與去中心化交易所(DEX)聚合器 Li.Fi 遭遇重大安全漏洞攻擊,受影響合約為 Li.Fi Diamond Contract。攻擊者盜走了價值約 1,160 萬美元的各類穩定幣及其他資產,這些資金來自曾對該合約授予無限授權(Infinite Approval)的用戶。
- 攻擊者地址:0x8b3cb6bf982798fba233bca56749e22eec42dcf3
- 受害合約:0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae
- 攻擊交易範例:0xd82f, 0x86fe, 0x606a
漏洞存在於 GasZipFacet 合約的 depositToGasZipERC20() 函數中。GasZipFacet 合約由 LI.FI 團隊在攻擊發生前五天部署,旨在為跨鏈交易提供 Gas 補給。depositToGasZipERC20() 函數包含一個由用戶控制的參數 _swapData,該參數隨後被傳遞給 LibSwap.swap() 函數調用。遺憾的是,LibSwap.swap 包含一個底層呼叫(low-level call),能夠利用攻擊者控制的 _swapData 參數來指定目標和調用數據,進而執行任意函數。攻擊者利用這個「任意調用漏洞」,對那些曾授予 Li.Fi Diamond 合約無限授權的用戶執行了未經授權的轉賬。
資金流向分析
2024 年 7 月 16 日,攻擊者發起了近百筆交易,利用該任意調用漏洞,在 30 分鐘內將價值約 1,100 萬美元的穩定幣(USDT、USDC、DAI)轉移至地址 0x8b3c。幾乎所有被竊取的穩定幣隨即迅速兌換為以太坊原生代幣 ETH。攻擊者使用的 DEX 包括 Uniswap、Metamask Swap 等。兌換交易範例:0xdf9b, 0x11d, 0xb4a4。
以與 Metamask Swap Spender 互動的交易 0x8e27 為例,攻擊者將非法獲取的 333,258 USDT 兌換為 97.16 ETH。所有資金池與代理地址均透過 MetaSleuth 清晰呈現。
攻擊發生後兩小時內,所有被竊資產均已轉移至攻擊者控制的下游地址,原始攻擊地址中已無剩餘資金。共有 32 個與地址 0x8b3c 直接相連(即距離原始地址一跳)的下游地址。其中,有 15 個地址僅從攻擊地址接收了 0.1 ETH。截至 2024 年 10 月 22 日,這些地址中的 ETH 尚未被轉出。其餘地址則處理了剩餘的大額非法資金。
從受害地址流向攻擊者控制的下游地址的部分資金流向:
在將非法資金轉移至距離地址 0x8b3c 一跳的下游地址後,攻擊者開始進一步分批轉移資金。整個轉移(洗錢)過程持續了近三個月。幾乎所有的非法資金最終都轉移至 Tornado Cash (99.9%),小部分則發送至交易所 eXch 進行直接套現。攻擊者累計與 Tornado Cash Router 發生了 114 筆交互交易。非法資金轉向 Tornado Cash 的交易範例:0x07de, 0xfe82, 0x6a47, 0x8ea6。非法資金轉向 eXch 的交易範例:0xaa89, 0x7e65, 0x8572, 0x625c, 0x2dd2, 0xda71。
層級 2 地址(距離原始地址 0x8b3c 兩跳)流向層級 4 地址的部分資金流向:
首次大規模批次轉移發生在攻擊後的第一週(7 月 16 日至 7 月 22 日)。攻擊者將地址 0x6a6d 中約 50 萬美元的非法資產轉移至 Tornado Cash。攻擊者的非法資金轉移具有顯著特徵:他們將資金轉移至距離攻擊地址較遠的下游地址(高風險地址),並逐步將部分資金送入 Tornado Cash。在第一批次中,轉移路徑最長達到 20 跳。攻擊者利用極深的路徑來隱匿非法資金流向。8 月至 10 月期間,剩餘非法資金以相同的特徵分批持續轉移至 Tornado Cash。
從地址 0x8e85(距離 0x8b3c 一跳)轉向 Tornado Cash Router 的轉移批次範例:
如圖所示,2024 年 8 月 13 日至 8 月 16 日期間,攻擊者透過 12 跳路徑逐步將 206 ETH 轉入 Tornado Cash。在地址 0xe9f7,攻擊者將 204 ETH 分為兩筆交易:100 ETH 發送至 Tornado Cash,其餘 104 ETH 轉發至進一步的洗錢地址。這種拆分模式貫穿了整個轉移過程。也就是說,攻擊者在每次與 Tornado Cash 交互時,都會使用一個新的、深度更深的地址。
安全響應與應對
攻擊發生兩天後,LI.FI 正式發布了事件報告,聲稱已成功在所有鏈上禁用了存在漏洞的合約功能,並阻止了任何進一步的非法存取。LI.FI 隨後啟動了賠償計畫,並已全額補償了受影響用戶。在追回被竊資產方面,他們表示將繼續與執法部門及包括行業安全團隊在內的第三方合作,努力追蹤並嘗試修復被盜資金。截至 2024 年 10 月 22 日,幾乎所有非法資金已被轉移至 Tornado Cash,Li.Fi 目前尚未發布追蹤報告。
相關地址與交易資訊
| 地址 | 交易 | 非法資金流向 |
|---|---|---|
| 0x8e85eace2fa757c1d97c5ebfb8b0622e5f23c5a1 | 0xe237, 0x0d23 | 206.49 ETH |
| 0xcb7c341dc6172b642dcf4a14015be70a27e5b31e | 0x050c, 0x37d4 | 873,568 USDT + 36.48 ETH |
| 0x7b93fa16c04cdcf91949d4f5f893f740992ae57e | 0x57ea, 0x52ac | 332.02 ETH |
| 0x3462d2523cded523ad47c14111aa1dcbe7773675 | 0xc66d, 0xc0ff | 120.55 ETH |
| 0xd0be9c4c84068a9964c3781f540f703c300db268 | 0x0c3b, 0x1670 | 275.38 ETH |
資金流向概覽:
更多資訊請參見 MetaSleuth: https://metasleuth.io/result/eth/0x14c1597cc833783ed8ac08ecc9b704b0a398201d?source=c8cd3609-0402-45eb-bb9e-2f710bd66554
