非法资金流向案例研究:LI.FI 攻击事件
案例背景
2024 年 7 月 16 日,跨链桥兼 DEX 聚合器 Li.Fi 发生重大安全漏洞,攻击者利用了 Li.Fi Diamond 合约。约 1160 万美元的各类稳定币及其他资产从用户处被窃取。攻击者成功从向该受攻击合约授予无限额度授权的用户处提取了资金。
- 攻击者地址:0x8b3cb6bf982798fba233bca56749e22eec42dcf3
- 受攻击合约:0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae
- 攻击交易示例:0xd82f, 0x86fe, 0x606a
该漏洞存在于 GasZipFacet 合约的 function depositToGasZipERC20() 中。GasZipFacet 合约由 LI.FI 团队在攻击发生前五天部署,旨在为跨链交易提供 Gas 充值功能。depositToGasZipERC20() 函数包含一个由用户控制的参数 _swapData,随后该参数被传递给 LibSwap.swap() 函数调用。不幸的是,LibSwap.swap 包含一个低级调用,能够使用攻击者控制的参数 _swapData 中指定的目标地址和调用数据来执行任意函数。攻击者利用这种“任意调用漏洞”,对已向 Li.Fi Diamond 合约授予无限授权的用户发起了未经授权的转账。
资金流向分析
2024 年 7 月 16 日,攻击者发起了近百笔交易,利用该任意调用漏洞,在 30 分钟内将价值约 1100 万美元的稳定币(USDT、USDC、DAI)转移至地址 0x8b3c。随后,几乎所有被窃取的稳定币都迅速兑换为以太坊原生代币 ETH。攻击者使用的 DEX 包括 Uniswap、Metamask Swap 等。兑换交易示例:0xdf9b, 0x11d, 0xb4a4。
以涉及 Metamask Swap Spender 的兑换交易 0x8e27 为例,攻击者将非法获得的 333,258 USDT 兑换为 97.16 ETH。所有流动性池和代理合约均可通过 MetaSleuth 清晰呈现。
攻击发生后两小时内,所有被盗资产均被转移至由攻击者控制的下游地址,原始攻击地址内已无剩余资金。共有 32 个下游地址直接连接到地址 0x8b3c(即距离原始攻击地址一跳)。其中,15 个地址仅从攻击地址接收了 0.1 ETH。截至 2024 年 10 月 22 日,这 15 个地址持有的 ETH 尚未被转出。其余地址则处理了剩余的大额非法资金。
部分资金从受害者地址流向由攻击者控制的下游地址:
在将非法资金转移至距离地址 0x8b3c 一跳的下游地址后,攻击者开始分批继续转移资金。整个转移(洗钱)过程持续了近三个月。几乎所有非法资金最终都被转移至 Tornado Cash(占 99.9%),仅有一小部分被发送至 eXch 兑换所进行直接变现。攻击者累计与 Tornado Cash Router 进行了 114 次交易交互。将非法所得转移至 Tornado Cash 的交易示例:0x07de, 0xfe82, 0x6a47, 0x8ea6。将非法所得转移至 eXch 的交易示例:0xaa89, 0x7e65, 0x8572, 0x625c, 0x2dd2, 0xda71。
部分资金从 Layer2 地址(距离原始攻击地址 0x8b3c 两跳)流向 Layer4 地址:
首批大规模转移发生在攻击后的第一周(7 月 16 日至 7 月 22 日)。攻击者将价值约 50 万美元的非法资产从地址 0x6a6d 转移至 Tornado Cash。攻击者的非法资金转移呈现出独特特征:他们将资金移动到距离攻击地址(高风险地址)极远的下游地址,并逐渐将一部分汇入 Tornado Cash。在第一批转移中,最长路径达到了 20 跳。攻击者利用极深的洗钱路径来掩盖非法资金流向。8 月至 10 月期间,剩余的非法资金通过具有相同特征的批次逐渐转移至 Tornado Cash。
将资金从地址 0x8e85(距离 0x8b3c 一跳)移动至 Tornado Cash Router 的转账批次示例:
如图所示,2024 年 8 月 13 日至 8 月 16 日期间,攻击者通过 12 跳路径逐渐将 206 ETH 转移至 Tornado Cash。在地址 0xe9f7,攻击者将 204 ETH 分为两笔交易:100 ETH 发送至 Tornado Cash,其余 104 ETH 发送至进一步的洗钱地址。这种拆分模式在整个转移过程中始终如一。也就是说,攻击者每与 Tornado Cash 进行一次交互,都会使用一个更深层的新地址。
处理措施
攻击发生两天后,LI.FI 正式发布了事件报告,声称已在所有链上禁用受漏洞影响的合约模块,并阻止了后续的未经授权访问。LI.FI 启动了赔偿计划,并对受影响用户进行了全额赔付。关于被窃资产的追回,他们表示将继续与执法部门及包括行业安全团队在内的相关第三方合作,追踪并尝试追回被盗资金。截至 2024 年 10 月 22 日,几乎所有非法资金都已转移至 Tornado Cash,且 Li.Fi 尚未发布相关的追踪报告。
相关地址及交易
| 地址 | 交易 | 非法资金流向 |
|---|---|---|
| 0x8e85eace2fa757c1d97c5ebfb8b0622e5f23c5a1 | 0xe237, 0x0d23 | 206.49 ETH |
| 0xcb7c341dc6172b642dcf4a14015be70a27e5b31e | 0x050c, 0x37d4 | 873,568 USDT + 36.48 ETH |
| 0x7b93fa16c04cdcf91949d4f5f893f740992ae57e | 0x57ea, 0x52ac | 332.02 ETH |
| 0x3462d2523cded523ad47c14111aa1dcbe7773675 | 0xc66d, 0xc0ff | 120.55 ETH |
| 0xd0be9c4c84068a9964c3781f540f703c300db268 | 0x0c3b, 0x1670 | 275.38 ETH |
资金流向概览:
更多信息请见 MetaSleuth: https://metasleuth.io/result/eth/0x14c1597cc833783ed8ac08ecc9b704b0a398201d?source=c8cd3609-0402-45eb-bb9e-2f710bd66554
