- Uma vulnerabilidade nos contratos inteligentes do protocolo permitiu que o invasor drenasse aproximadamente 6.262 ETH, avaliados em cerca de US$ 13 milhões, dos pools de liquidez.
- Os fundos roubados foram transferidos da Arbitrum para a Ethereum.
Vários milhões de dólares em tokens foram drenados dos “caldeirões” do protocolo DeFi Abracadabra/Spell após um hack direcionado, de acordo com a empresa de segurança Pecksheild. Uma vulnerabilidade nos contratos inteligentes do protocolo permitiu que o invasor drenasse aproximadamente 6.262 ETH, avaliados em cerca de US$ 13 milhões, dos pools de liquidez.
Os caldeirões de Abracadabra/Spell são contratos inteligentes que usam pools de liquidez descentralizados de exchanges GMX para empréstimos e empréstimos onchain. O exploit aparentemente envolveu a manipulação do processo de liquidação na integração dos caldeirões de Abracadabra nos pools GM do GMX V2.
“Ao realizar a liquidação, o atacante na verdade LIQUIDOU a si mesmo dentro de um estado FLASHLOAN (P4) – onde o mutuário (que foi liquidado) não tem nenhuma garantia”, disse o pesquisador de criptomoedas Weilin (William) Li no X em uma análise inicial da situação. Um empréstimo flash é uma estratégia de negociação nativa DeFi onde um usuário faz um empréstimo sem garantia e o paga dentro do mesmo bloco.
Li acrescentou que o invasor usou um processo de sete etapas para tomar emprestado e liquidar um empréstimo da stablecoin algorítmica Magic Internet Money da Abracadabra. “E o lucro do invasor vem dos incentivos de liquidação (porque no final da função cook, o eoa do invasor precisa ser solvente)”, disse ele.
O GMX V2 usa um processo de negociação de duas etapas, onde as ordens são criadas e cumpridas por “keepers” para evitar o front-running. Essa janela entre a criação da ordem e o cumprimento pode ter exposto uma superfície para o invasor interferir, embora um desenvolvedor do GMX tenha notado que os contratos principais do GMX não foram afetados.
“Para esclarecer, os contratos GMX não são afetados”, disse @Jonas_ALA no X. “Eles se relacionam aos caldeirões de Spell baseados nos pools de GM do GMX V2. Os contribuidores estão atualmente investigando a causa, e eu gostaria de me desculpar de todo o coração com qualquer um afetado negativamente. Isso é muito lamentável.”
Os fundos roubados foram transferidos da Arbitrum para a Ethereum.
Em janeiro de 2024, a stablecoin MIM da Abracadabra foi manipulada, resultando em perdas de quase US$ 6,5 milhões.
Fonte: TheBlock
