Peretas mencuri $13 juta dalam 'Magic Internet Money' Abracadabra tampaknya menggunakan serangan pinjaman kilat

Bitget App

Trading lebih cerdas

Bitget

Berita

Lihat versi asli

The Block2025/03/25 17:13

Oleh:By Daniel Kuhn

Ringkasan Singkat Sebuah kerentanan dalam smart contract protokol memungkinkan penyerang untuk menguras sekitar 6.262 ETH, yang bernilai sekitar $13 juta, dari pool likuiditas. Dana yang dicuri tersebut telah dipindahkan dari Arbitrum ke Ethereum.

Peretas mencuri $13 juta dalam 'Magic Internet Money' Abracadabra tampaknya menggunakan serangan pinjaman kilat image 0

Beberapa juta dolar dalam bentuk token telah disedot dari "cauldrons" protokol DeFi Abracadabra/Spell setelah serangan yang ditargetkan, menurut firma keamanan Pecksheild. Kerentanan dalam smart contract protokol memungkinkan penyerang untuk menguras sekitar 6.262 ETH, yang bernilai sekitar $13 juta, dari pool likuiditas.

Cauldrons Abracadabra/Spell adalah smart contract yang menggunakan pool likuiditas GMX untuk peminjaman dan peminjaman onchain. Eksploitasi ini tampaknya melibatkan manipulasi proses likuidasi dalam integrasi cauldrons Abracadabra pada pool GM GMX V2.

“Saat melakukan likuidasi, penyerang sebenarnya MELIKUIDASI dirinya sendiri dalam keadaan FLASHLOAN (P4) - di mana peminjam (yang dilikuidasi) sebenarnya tidak memiliki jaminan,” peneliti kripto Weilin (William) Li mengatakan di X dalam tinjauan awal situasi tersebut. Flash loan adalah strategi perdagangan asli DeFi di mana pengguna mengambil pinjaman tanpa jaminan dan melunasinya dalam blok yang sama.

Li menambahkan bahwa penyerang menggunakan proses tujuh langkah untuk meminjam dan melikuidasi pinjaman stablecoin algoritmik Abracadabra, Magic Internet Money. “Dan keuntungan penyerang berasal dari insentif likuidasi (karena pada akhir fungsi cook, eoa penyerang harus solvable),” katanya.

GMX V2 menggunakan proses perdagangan dua langkah di mana pesanan dibuat dan dipenuhi oleh "keepers" untuk mencegah front-running. Jendela antara pembuatan dan pemenuhan pesanan ini mungkin telah membuka permukaan bagi penyerang untuk campur tangan, meskipun seorang pengembang GMX mencatat bahwa kontrak inti GMX tidak terpengaruh.

“Untuk memperjelas, kontrak GMX tidak terpengaruh,” @Jonas_ALA mengatakan di X. “Ini terkait dengan cauldrons Spell berdasarkan pool GM GMX V2. Para kontributor saat ini sedang menyelidiki penyebabnya, dan saya ingin meminta maaf sepenuh hati kepada siapa pun yang terkena dampak negatif. Ini sangat disayangkan.”

Dananya yang dicuri telah dijembatani dari Arbitrum ke Ethereum.

Pada Januari 2024, stablecoin MIM Abracadabra dimanipulasi yang menyebabkan kerugian hampir $6,5 juta.

Disclaimer: Konten pada artikel ini hanya merefleksikan opini penulis dan tidak mewakili platform ini dengan kapasitas apa pun. Artikel ini tidak dimaksudkan sebagai referensi untuk membuat keputusan investasi.

PoolX: Kunci untuk token baru.

APR hingga 12%. Selalu aktif, selalu dapat airdrop.

Kunci sekarang!