非法资金流动案例分析：Li.Fi Attack

事件背景

2024年7月16日，著名的链桥(cross-chain bridge)和去中心化交易所聚合器(DEX aggregator) Li.Fi^[1] 遭遇了重大的安全攻击。黑客利用了 Li.Fi Diamond Contract^[2]，其用户的价值约 1160 万美元的加密货币资产(包含多种稳定币)被盗。向被攻击合约进行过无限制 Approve 操作的用户地址几乎完全被黑客抽干。

•攻击者以太坊地址: 0x8b3cb6bf982798fba233bca56749e22eec42dcf3^[3]•有漏洞的合约地址: 0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae^[4]•触发攻击的交易实例: 0xd82f^[5], 0x86fe^[6], 0x606a^[7]

攻击利用的漏洞存在于 GasZipFacet 合约的 depositToGasZipERC20() 函数^[8]，该合约在攻击发生五天前刚刚被Li.Fi团队部署。函数depositToGasZipERC20 接收了一个由用户控制的参数_swapData，这个参数后来被传递到对函数LibSwap.swap()的调用中。不巧的是，函数LibSwap.swap()内包含了一个可以执行任意函数调用的底层调用过程，这个底层调用的调用目标和调用参数完全由攻击者可以控制的_swapData控制。黑客利用这样的 "arbitrary call vulnerability" 成功发起了未经授权的转账，从向 Li.Fi Diamond Contract 进行过无限制 Approve 操作的用户地址中抽干了所有资金。

使用MetaSleuth进行资金流分析

2024年7月16日，攻击者发起了近百条交易^[9]触发被攻击合约中的 "arbitrary call vulnerability"，在30分钟内转走了受害者账户地址中累积约 1160 万美元的稳定币(USDC, USDT, DAI等)。然后，几乎所有被盗的稳定币都快速被黑客swap为了以太坊的原生代币ETH。黑客使用的DEX包含 Uniswap, Metamask Swap 等。swap 交易的例子有： 0xdf9b^[10], 0x11d^[11], 0xb4a4^[12]。

下面是一个攻击者发起的 swap 交易 0x8e27^[13]，利用了 Metamask Swap Spender^[14]。攻击者将非法获取的 333,258 USDT 转换为了 97.16 ETH。使用 Metasleuth 可以清晰地看到交易内部的资金流动情况，包含所有的代币交换池和聚合代理。

在攻击发生后的两小时内，所有被盗资产都被转移到了攻击者控制的下游地址中，用于发送攻击交易的初始攻击地址 0x8b3c^[15] 中已经没有任何被盗的 token 了。和 0x8b3c^[16]直接相连的地址(即距离初始攻击地址一跳的地址)共有32个，其中有15个地址仅收到了0.1ETH的赃款。直到2024年10月23日，这些地址中的少量ETH仍未被转出。其他的17个地址处理了剩余绝大部分赃款的洗钱过程。

下图展示了资金从部分受害者地址流向被攻击者控制的下游地址的流动：

在将非法资产转移到距离初始攻击地址0x8b3c^[17]一跳的地址后，黑客开始分批次地对这些地址中的赃款进行洗钱转移。洗钱转移过程持续了近三个月，几乎所有(大于99%)的非法资金最终被转移到 Tornado Cash^[18]，剩下的少量黑钱被转移到交易所 eXch^[19] 直接进行兑现。黑客总共发起了114条交易与 Tornado Cash 进行互动。将非法资金转入 Tornado Cash 的交易实例: 0x07de^[20], 0xfe82^[21], 0x6a47^[22], 0x8ea6^[23]；将非法资金转入 eXch 的交易实例: 0xaa89^[24], 0x7e65^[25], 0x8572^[26], 0x625c^[27], 0x2dd2^[28], 0xda71^[29]。

下图是部分资金从第二层洗钱地址(距离初始攻击地址两跳)到第四层洗钱地址(距离初始攻击地址四跳)的转移路径：

第一批次大规模转移发生在攻击发生后的一周内，即7月16日至7月22日之间。攻击者将价值大约 50 万美元的非法资产从地址 0x6a6d^[30] 转移到 Tornado Cash。攻击者的非法资金转移显示出了明显的特征：他们将资金转移到远离攻击地址（高风险地址）的下游地址，并逐步将部分资金存入 Tornado Cash。在第一批转移中，最长的转移路径达到了20跳。攻击者使用了极深的洗钱路径来掩盖非法资金流动。在 8 月至 10 月期间，剩余的非法资金以具有相同特征的批次被逐步转入 Tornado Cash。

一个转移批次的实例，黑客将地址 0x8e85^[31] (距离0x8b3c^[32]一跳) 中的黑钱转移到 Tornado Cash，表现出了上述特征：

如图所示，在2024 年8 月13日至8月16日期间，攻击者通过长达12跳的路径逐步将 206 ETH 转移到 Tornado Cash。在地址 0xe9f7^[33] 处，攻击者将 204 ETH 拆分为两笔交易：发送100 ETH到Tornado Cash，剩余的104 ETH则转移到更深的洗钱地址。这种拆分的模式出现在整个转移过程中，攻击者在每次涉及 Tornado Cash 的操作中，都会使用新的、更深层的地址。

官方措施与当前进展

在攻击发生两天后，LI.FI 官方发布了一份事件报告^[34]，声称他们已成功禁用了所有链上的可能受到相同攻击的合约模块，阻止了所有进一步的对用户地址的未授权访问。LI.FI 启动了补偿计划，并全额赔偿了受影响的用户。对于被盗资产的追回，他们表示将继续与执法部门及相关第三方合作，包括行业内的安全团队，以追踪并尝试追回被盗资金。截至2024年10月 22日，几乎所有非法资金已转移至 Tornado Cash，但 Li.FI 尚未发布追踪报告。

相关地址和交易

地址	交易	非法资金流
0x8e85eace2fa757c1d97c5ebfb8b0622e5f23c5a1	0xe237^[35], 0x0d23^[36]	206.49 ETH
0xcb7c341dc6172b642dcf4a14015be70a27e5b31e	0x050c^[37], 0x37d4^[38]	873,568 USDT + 36.48 ETH
0x7b93fa16c04cdcf91949d4f5f893f740992ae57e	0x57ea^[39], 0x52ac^[40]	332.02 ETH
0x3462d2523cded523ad47c14111aa1dcbe7773675	0xc66d^[41], 0xc0ff^[42]	120.55 ETH
0xd0be9c4c84068a9964c3781f540f703c300db268	0x0c3b^[43], 0x1670^[44]	275.38 ETH

使用 Metasleuth^[45] 构建的详细资金流转移图：

在 Metasleuth 中详细探索整个非法资金流动: https://metasleuth.io/result/eth/0x14c1597cc833783ed8ac08ecc9b704b0a398201d?source=c8cd3609-0402-45eb-bb9e-2f710bd66554 ^[46]

关于MetaSleuth

BlockSec是全球领先的区块链安全公司，于2021年由多位安全行业的知名专家联合创立。公司致力于为Web3世界提升安全性和易用性，以推进Web3的大规模采用。MetaSleuth是由BlockSec开发的区块链资金调查与追踪平台，目前支持包括比特币（BTC）、以太坊（ETH）、Solana等15条链，拥有超过3亿个地址标签。MetaSleuth提供一体化的调查工具和API解决方案，具有跨链分析、实时监控等功能。

官网：https://metasleuth.io/
Twitter中文：https://x.com/MSCommunity_CN
Twitter英文：https://x.com/MetaSleuth

References

[1] Li.Fi: https://x.com/lifiprotocol
[2] Li.Fi Diamond Contract: https://etherscan.io/address/0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae
[3] 0x8b3cb6bf982798fba233bca56749e22eec42dcf3: https://etherscan.io/address/0x8b3cb6bf982798fba233bca56749e22eec42dcf3
[4] 0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae: https://etherscan.io/address/0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae
[5] 0xd82f: https://etherscan.io/tx/0xd82fe84e63b1aa52e1ce540582ee0895ba4a71ec5e7a632a3faa1aff3e763873
[6] 0x86fe: https://etherscan.io/tx/0x86fe6933f03c14f75167e560e6635a23fab59b268e68c86d60c4d46afe0aeabc
[7] 0x606a: https://etherscan.io/tx/0x606a49471ebcb608bf034abd982750d626b7eaf45a963118d5aae5baae4a2da2
[8] 函数: https://etherscan.io/address/0xf28a352377663ca134bd27b582b1a9a4dad7e534#code
[9] 交易: https://etherscan.io/tokentxns?a=0x8b3cb6bf982798fba233bca56749e22eec42dcf3&p=4
[10] 0xdf9b: https://etherscan.io/tx/0xdf9b2b855e5a55f4add1b95f29f4c2be6917560c30e0de11ea55270eb711886e
[11] 0x11d: https://etherscan.io/tx/0x11ddeef2d279de82717272301d6f6e08795a8ac83b90972c71761e015a9c644c
[12] 0xb4a4: https://etherscan.io/tx/0xb4a4cb9084043b6fe2d789de51d6a15b6ce321cb6334ca033b5824562b2f5904
[13] 0x8e27: https://etherscan.io/tx/0x8e27acf21089de72cd927e2efc44d99af9494d56c21fd49eaf0c5b7e56e7316e
[14] Metamask Swap Spender: https://etherscan.io/address/0x74de5d4fcbf63e00296fd95d33236b9794016631
[15] 0x8b3c: https://etherscan.io/address/0x8b3cb6bf982798fba233bca56749e22eec42dcf3
[16] 0x8b3c: https://etherscan.io/address/0x8b3cb6bf982798fba233bca56749e22eec42dcf3
[17] 0x8b3c: https://etherscan.io/address/0x8b3cb6bf982798fba233bca56749e22eec42dcf3
[18] Tornado Cash: https://etherscan.io/address/0xd90e2f925da726b50c4ed8d0fb90ad053324f31b
[19] eXch: https://etherscan.io/address/0xf1da173228fcf015f43f3ea15abbb51f0d8f1123
[20] 0x07de: https://etherscan.io/tx/0x07dec7b53ed73e310757b9cc4d73abac6726f867a68a4910082b59ce224a5a6e
[21] 0xfe82: https://etherscan.io/tx/0xfe82ce08803579edd2ad69f7058cf52310b231890ec156ef5dcd046b5b296d03
[22] 0x6a47: https://etherscan.io/tx/0x6a47684a769e4ac476506d245137839013e4526b437011d543be45886bc3713f
[23] 0x8ea6: https://etherscan.io/tx/0x8ea6ca1047fd0a8cecafb38bb10a1029f82ef88932c1779de6b2a2ef5580d65e
[24] 0xaa89: https://etherscan.io/tx/0xaa89e7ab86da0f57640c6b40186f41d9a074c4f365cde6541965c1c908d7ded9
[25] 0x7e65: https://etherscan.io/tx/0x7e656b657609910ed45590cc855738839e44b7e0589e9e5568991d8b5ae2c498
[26] 0x8572: https://etherscan.io/tx/0x8572fa167f89cdc65a8cbe5526b04024d372bd9b2ec7f9f161fbf08c71dd7f33
[27] 0x625c: https://etherscan.io/tx/0x625c6c15cad716f205ed2c3d67fc91b5893f234dacf43dffa8b899940f08917a
[28] 0x2dd2: https://etherscan.io/tx/0x2dd2dfda6c8db4372b39bb902f806a741b451eb38ab9d9dd0161532e69465972
[29] 0xda71: https://etherscan.io/tx/0xda715e9430bd82a40fb3b15caa7bbf4e51d00a11e6bf93f0c2c777a1689503ea
[30] 0x6a6d: https://etherscan.io/address/0x6a6df7cf485fdc6e6f7d4a8b818e1eacc31e664e
[31] 0x8e85: https://etherscan.io/address/0x8e85eace2fa757c1d97c5ebfb8b0622e5f23c5a1
[32] 0x8b3c: https://etherscan.io/address/0x8b3cb6bf982798fba233bca56749e22eec42dcf3
[33] 0xe9f7: https://etherscan.io/address/0xe9f7cd0c410257850324d86536bd165cf4306e80
[34] 事件报告: https://li.fi/knowledge-hub/incident-report-16th-july/
[35] 0xe237: https://etherscan.io/tx/0xe2379835bfd6985949e741562d23e1e3fae892546d7a7d68c3812e1319f26415
[36] 0x0d23: https://etherscan.io/tx/0x0d23ba0e8b53787893d7ba8bf0de75fafb2b81d13377ae19b22ff8ab812d0608
[37] 0x050c: https://etherscan.io/tx/0x050c935a0fb442aa5b4b669c7fa84bbf88bf3f6a43c50eb176d472cd4ac1d3d9
[38] 0x37d4: https://etherscan.io/tx/0x37d411e434f6a5124a5e615f767dcbfc668d68355f8baac2ec5fd7ff4050ee94
[39] 0x57ea: https://etherscan.io/tx/0x57eaa1a8acf151230f19c38a1c8470d93baf7341e45ddcb20cf7d586332cf992
[40] 0x52ac: 0x52acb20f7c2a235698f4a6238005d90d1364be6b62aa0f1595406bc07ab20260
[41] 0xc66d: https://etherscan.io/tx/0xc66d0bb572f8d7589c029f73d1c317d087bb29bfb9d72bebce2baf695620655f
[42] 0xc0ff: https://etherscan.io/tx/0xc0ffe4343e7adad323fa5169e375148828818c070f46da9cd00080e16cc024b4
[43] 0x0c3b: https://etherscan.io/tx/0x0c3b0192ec5730a9b608c965f7e5c2361e03704a762adcea18204c26262a2ef3
[44] 0x1670: https://etherscan.io/tx/0x1670fbf41c53fc0e4382b98555fb7e9d1e1b519608b999581b0485755d6d712f
[45] Metasleuth: https://metasleuth.io/result/eth/0x14c1597cc833783ed8ac08ecc9b704b0a398201d?source=c8cd3609-0402-45eb-bb9e-2f710bd66554
[46]: https://metasleuth.io/result/eth/0x14c1597cc833783ed8ac08ecc9b704b0a398201d?source=c8cd3609-0402-45eb-bb9e-2f710bd66554。