著名的区块链安全公司Peckshield报告了涉及GMX分散交易所(DEX)的利用,该公司引起了Abracadabra(Spell)生态系统中脆弱性的关注。
这一事件与Abracadabra大锅有关 - 智能合同,促进了贷款,借贷和流动性提供等法律运营,导致盗窃约6,260个以太坊,价值约1300万美元。
尽管攻击引起了很大的关注,但GMX很快阐明它的合同没有受到损害。实际上,这个问题仅限于GMX V2和Abracadabra大锅之间的整合,这些大锅使用GMX流动性池进行运营。该团队向社区保证,这不受事件的影响,并确认在GMX自己的智能合约中没有发现漏洞。
该小组进一步解释说,Abracadabra团队与外部安全研究人员一起积极调查违规行为,以确定其原因并防止未来事件。这一事件尤其值得注意,因为它突出了更广泛的Defi生态系统中持续的安全挑战。
这也是在2024年1月的先前安全漏洞之后,当时Abracadabra Magic Internet Money(MIM)Stablecoin由于其智能合同的缺陷而被剥削。漏洞利用导致损失649万美元。
加密研究员Weilin(William)Li陈述Cauldronv4合同允许用户执行多个操作,并在过程结束时进行偿付能力检查。在这种情况下,攻击者执行了七项操作,其中五项涉及借用魔术互联网(MIM)Stablecoin,然后称攻击合同并启动清算。
Li初步分析表明,第一个行动,即借用MIM,已经增加了攻击者债务,使清算(行动31)成为可能。然而,该清算被怀疑以频率贷款状态执行 - 借款人没有抵押。
他还指出,攻击者从清算激励措施中获利,并利用了这样的事实,即仅在完成所有措施后才发生偿付能力检查,这使攻击者能够规避系统保护。
