Peretas mencuri $13 juta dalam 'Magic Internet Money' Abracadabra tampaknya menggunakan serangan pinjaman kilat

Beberapa juta dolar dalam bentuk token telah disedot dari "cauldrons" protokol DeFi Abracadabra/Spell setelah serangan yang ditargetkan, menurut firma keamanan Pecksheild. Kerentanan dalam smart contract protokol memungkinkan penyerang untuk menguras sekitar 6.262 ETH, yang bernilai sekitar $13 juta, dari pool likuiditas.

Cauldrons Abracadabra/Spell adalah smart contract yang menggunakan pool likuiditas GMX untuk peminjaman dan peminjaman onchain. Eksploitasi ini tampaknya melibatkan manipulasi proses likuidasi dalam integrasi cauldrons Abracadabra pada pool GM GMX V2. 

“Saat melakukan likuidasi, penyerang sebenarnya MELIKUIDASI dirinya sendiri dalam keadaan FLASHLOAN (P4) - di mana peminjam (yang dilikuidasi) sebenarnya tidak memiliki jaminan,” peneliti kripto Weilin (William) Li mengatakan di X dalam tinjauan awal situasi tersebut. Flash loan adalah strategi perdagangan asli DeFi di mana pengguna mengambil pinjaman tanpa jaminan dan melunasinya dalam blok yang sama.

Li menambahkan bahwa penyerang menggunakan proses tujuh langkah untuk meminjam dan melikuidasi pinjaman stablecoin algoritmik Abracadabra, Magic Internet Money. “Dan keuntungan penyerang berasal dari insentif likuidasi (karena pada akhir fungsi cook, eoa penyerang harus solvable),” katanya. 

GMX V2 menggunakan proses perdagangan dua langkah di mana pesanan dibuat dan dipenuhi oleh "keepers" untuk mencegah front-running. Jendela antara pembuatan dan pemenuhan pesanan ini mungkin telah membuka permukaan bagi penyerang untuk campur tangan, meskipun seorang pengembang GMX mencatat bahwa kontrak inti GMX tidak terpengaruh.

“Untuk memperjelas, kontrak GMX tidak terpengaruh,” @Jonas_ALA mengatakan di X. “Ini terkait dengan cauldrons Spell berdasarkan pool GM GMX V2. Para kontributor saat ini sedang menyelidiki penyebabnya, dan saya ingin meminta maaf sepenuh hati kepada siapa pun yang terkena dampak negatif. Ini sangat disayangkan.”

Dananya yang dicuri telah dijembatani dari Arbitrum ke Ethereum.

Pada Januari 2024, stablecoin MIM Abracadabra dimanipulasi yang menyebabkan kerugian hampir $6,5 juta.