駭客似乎利用閃電貸攻擊竊取了 Abracadabra 的「魔法網路貨幣」1300 萬美元

根據安全公司Pecksheild的報告，DeFi協議Abracadabra/Spell的“cauldrons”遭到針對性攻擊，數百萬美元的代幣被盜。協議的智能合約存在漏洞，使攻擊者能夠從流動性池中提取約6,262 ETH，價值約1,300萬美元。

Abracadabra/Spell的cauldrons是使用去中心化交易所GMX流動性池進行鏈上借貸的智能合約。此次漏洞似乎涉及操縱Abracadabra的cauldrons在GMX V2的GM池中的清算過程。

“在執行清算時，攻擊者實際上在一個閃電貸狀態（P4）中清算了自己——借款人（被清算者）實際上沒有抵押品，”加密研究員Weilin（William）Li在X上初步分析情況時表示。閃電貸是一種DeFi原生交易策略，用戶可以在同一區塊內借出無抵押貸款並償還。

Li補充說，攻擊者使用了七步過程來借入並清算Abracadabra的算法穩定幣Magic Internet Money的貸款。“攻擊者的利潤來自清算激勵（因為在函數cook結束時，攻擊者的eoa需要是有償付能力的），”他說。

GMX V2使用兩步交易過程，其中訂單由“keepers”創建和履行，以防止搶先交易。這個訂單創建和履行之間的窗口可能暴露了一個攻擊者干預的表面，儘管一位GMX開發者指出GMX的核心合約未受影響。

“澄清一下，GMX合約未受影響，”@Jonas_ALA在X上說。“這與基於GMX V2的GM池的Spell的cauldrons有關。貢獻者目前正在調查原因，我想向任何受到負面影響的人表示誠摯的歉意。這非常不幸。”

被盜資金已經從Arbitrum橋接到以太坊。

2024年1月，Abracadabra的MIM穩定幣被操縱，導致近650萬美元的損失。