Hacker đánh cắp 13 triệu đô la trong 'Magic Internet Money' của Abracadabra dường như bằng cách sử dụng tấn công flash loan

Bitget App

Giao dịch thông minh hơn

Xem bài gốc

The Block2025/03/25 17:13

Theo:By Daniel Kuhn

Tóm tắt nhanh Một lỗ hổng trong hợp đồng thông minh của giao thức đã cho phép kẻ tấn công rút khoảng 6,262 ETH, trị giá khoảng 13 triệu USD, từ các bể thanh khoản. Số tiền bị đánh cắp đã được chuyển từ Arbitrum sang Ethereum.

Hacker đánh cắp 13 triệu đô la trong 'Magic Internet Money' của Abracadabra dường như bằng cách sử dụng tấn công flash loan image 0

Hàng triệu đô la giá trị token đã bị rút khỏi các “vạc” của giao thức DeFi Abracadabra/Spell sau một cuộc tấn công có chủ đích, theo công ty bảo mật Pecksheild. Một lỗ hổng trong hợp đồng thông minh của giao thức đã cho phép kẻ tấn công rút khoảng 6,262 ETH, trị giá khoảng 13 triệu đô la, từ các bể thanh khoản.

Các vạc của Abracadabra/Spell là các hợp đồng thông minh sử dụng các bể thanh khoản của sàn giao dịch phi tập trung GMX để cho vay và vay trên chuỗi. Cuộc tấn công dường như liên quan đến việc thao túng quá trình thanh lý trong việc tích hợp các vạc của Abracadabra trên các bể GM của GMX V2.

“Khi thực hiện thanh lý, kẻ tấn công thực sự đã TỰ THANH LÝ trong trạng thái FLASHLOAN (P4) - nơi người vay (người bị thanh lý) thực sự không có tài sản thế chấp,” nhà nghiên cứu tiền điện tử Weilin (William) Li cho biết trên X trong cái nhìn ban đầu về tình hình. Một khoản vay flash là một chiến lược giao dịch gốc DeFi nơi người dùng vay một khoản vay không có tài sản thế chấp và trả lại trong cùng một khối.

Li bổ sung rằng kẻ tấn công đã sử dụng một quy trình bảy bước để vay và thanh lý một khoản vay của stablecoin thuật toán Magic Internet Money của Abracadabra. “Và lợi nhuận của kẻ tấn công đến từ các ưu đãi thanh lý (bởi vì vào cuối chức năng cook, eoa của kẻ tấn công cần phải có khả năng thanh toán),” ông nói.

GMX V2 sử dụng một quy trình giao dịch hai bước nơi các lệnh được tạo và thực hiện bởi “keepers” để ngăn chặn front-running. Khoảng thời gian giữa việc tạo và thực hiện lệnh có thể đã tạo ra một bề mặt cho kẻ tấn công can thiệp, mặc dù một nhà phát triển GMX lưu ý rằng các hợp đồng cốt lõi của GMX không bị ảnh hưởng.

“Để làm rõ, các hợp đồng GMX không bị ảnh hưởng,” @Jonas_ALA nói trên X. “Nó liên quan đến các vạc của Spell dựa trên các bể GM của GMX V2. Các cộng tác viên hiện đang xem xét nguyên nhân, và tôi muốn xin lỗi chân thành đến bất kỳ ai bị ảnh hưởng tiêu cực. Đây là điều rất đáng tiếc.”

Số tiền bị đánh cắp đã được chuyển từ Arbitrum sang Ethereum.

Vào tháng 1 năm 2024, stablecoin MIM của Abracadabra đã bị thao túng dẫn đến thiệt hại gần 6,5 triệu đô la.

Tuyên bố miễn trừ trách nhiệm: Mọi thông tin trong bài viết đều thể hiện quan điểm của tác giả và không liên quan đến nền tảng. Bài viết này không nhằm mục đích tham khảo để đưa ra quyết định đầu tư.

PoolX: Khóa để nhận token mới.

APR lên đến 12%. Luôn hoạt động, luôn nhận airdrop.

Khóa ngay!