Beosin EagleEye: Socket协议遭受攻击者原因是call注入攻击，损失超300万美元-211Coin

Beosin EagleEye: Socket协议遭受攻击者原因是call注入攻击，损失超300万美元

2024-01-17 10:39:34

金色财经报道，据Beosin旗下EagleEye安全风险监控、预警与阻断平台监测显示，Socket协议遭受攻击者call注入攻击，导致大量授权用户资金被盗。本次攻击主要是由于Socket合约的performAction函数存在不安全的call调用。该函数功能是调用者可以将WETH兑换为ETH，并且调用者需要通过WETH的call将转入合约的WETH兑换为ETH，否则将不能通过余额检查。按理说函数中的call调用只能调用WETH合约的withdraw函数，但是项目方未考虑到调用者转入的WETH数量为0的情况，导致调用者可以在call中去调用其他指定函数，并且能通过余额检查。攻击者通过构造calldata，调用任意代币的transferfrom，将其他用户授权给该合约的代币转移到攻击者地址。目前攻击者将被盗资金兑换为ETH，并保存在攻击者地址上，Beosin将对资金进行持续监控。

211COIN发布此信息目的在于传播更多信息，与本网站立场无关，文章内容仅供参考，不代表任何确定性判断，且不构成投资建议，请谨慎对待，风险自担。

金色财经报道，据Beosin Alert监控预警发现，跨链协议LI.FI遭受攻击，Beosin安全团队发现漏洞原因是攻击者利用项目合约的call注入将授权给合约的用户资产转移走。LI.FI项目合约存在一个depositToGasZipERC20函数，可将指定代币兑换为平台币并存入GasZip合约，但是在兑换逻辑处的代码未对call调用的数据进行限制，导致攻击者可利用此函数进行call注入攻击，提取走给合约授权用户的资产。攻击者地址：0x8B....DcF3。被攻击合约：0x1231....F4EaE。

Beosin EagleEye: Socket协议遭受攻击者原因是call注入攻击，损失超300万美元

相关快讯