成都鏈安：攻擊者惡意構建callTo地址為代幣合約地址，并調用transferFrom函數轉移代幣

星球日報訊 針對“DEX聚合協議Li.Finance遭黑客攻擊”事件，成都鏈安團隊分析發現DEX聚合協議Li.Finance被攻擊合約中的swapAndStartBridgeTokensViaCBridge函數中存在call注入攻擊，可通過構造惡意的數據(_swapData)控制call調用的參數。在本次攻擊事件中，攻擊者惡意構建callTo地址為對應的代幣合約地址，并調用代幣合約的transferFrom函數轉走受害地址的代幣。

據此前消息，DEX聚合協議Li.Finance宣布其智能合約存在潛在漏洞，正遭黑客攻擊，已停用所有交易功能。現該漏洞已修復。攻擊者從29個錢包中盜取約60萬美元。