Хакер похищает $13 миллионов в 'Magic Internet Money' Abracadabra, предположительно используя атаку с мгновенным займом

Согласно данным компании по безопасности Pecksheild, несколько миллионов долларов в токенах были выведены из «котлов» DeFi-протокола Abracadabra/Spell в результате целенаправленной атаки. Уязвимость в смарт-контрактах протокола позволила злоумышленнику вывести примерно 6,262 ETH, что оценивается примерно в 13 миллионов долларов, из пулов ликвидности.

Котлы Abracadabra/Spell — это смарт-контракты, которые используют пулы ликвидности децентрализованной биржи GMX для ончейн-кредитования и заимствования. Эксплойт, по-видимому, включал манипуляции с процессом ликвидации в интеграции котлов Abracadabra на GMX V2’s GM pools. 

«При выполнении ликвидации злоумышленник фактически ЛИКВИДИРОВАЛ себя в состоянии FLASHLOAN (P4) — где заемщик (который был ликвидирован) фактически не имеет залога», — сказал криптоисследователь Вейлин (Уильям) Ли на X в первоначальном анализе ситуации. Флэш-кредит — это стратегия торговли, характерная для DeFi, при которой пользователь берет незалоговый кредит и возвращает его в том же блоке.

Ли добавил, что злоумышленник использовал семишаговый процесс для заимствования и ликвидации кредита алгоритмической стабильной монеты Abracadabra Magic Internet Money. «И прибыль злоумышленника исходит от стимулов ликвидации (поскольку в конце функции cook eoa злоумышленника должна быть платежеспособной)», — сказал он. 

GMX V2 использует двухэтапный процесс торговли, где заказы создаются и выполняются «хранителями», чтобы предотвратить фронт-раннинг. Это окно между созданием и выполнением заказа могло открыть поверхность для вмешательства злоумышленника, хотя разработчик GMX отметил, что основные контракты GMX не пострадали.

«Для ясности, контракты GMX не затронуты», — сказал @Jonas_ALA на X. «Это связано с котлами Spell на основе GMX V2’s GM pools. Участники в настоящее время изучают причину, и я хотел бы искренне извиниться перед всеми, кто пострадал. Это очень печально.»

Похищенные средства были затем перенесены с Arbitrum на Ethereum.

В январе 2024 года стабильная монета MIM Abracadabra была подвергнута манипуляциям, что привело к потерям почти на 6,5 миллионов долларов.