A empresa de segurança de blockchain proeminente Peckshield relatou uma exploração envolvendo a troca descentralizada de GMX (DEX), que chamou a atenção às vulnerabilidades dentro do ecossistema Abracadabra (Spell).
O incidente, ligado aos caldeirões de Abracadabra – contratos inteligentes que facilitam operações definidas como empréstimos, empréstimos e provisão de liquidez – levaram ao roubo de aproximadamente 6.260 Ethereum, no valor de aproximadamente US $ 13 milhões.
O GMX garante que os contratos permanecem seguros
Enquanto o ataque chamou considerável atenção, o GMX foi rápido em esclarecer que seus contratos não foram comprometidos. De fato, a questão foi confinada à integração entre o GMX V2 e os caldeirões de Abracadabra, que usam os pools de liquidez da GMX para suas operações. A equipe garantiu à comunidade que não foi afetada pelo incidente e confirmou que nenhuma vulnerabilidade foi encontrada nos contratos inteligentes da GMX.
A equipe explicou ainda que a equipe Abracadabra, juntamente com pesquisadores de segurança externa, estava investigando ativamente a violação para determinar sua causa e impedir futuros incidentes. Esse incidente é particularmente digno de nota, pois destaca os desafios de segurança contínuos no ecossistema mais amplo.
Ele também segue uma violação de segurança anterior em janeiro de 2024, quando o Stablecoin da Internet Magic Internet (MIM) da Abracadabra foi explorada devido a uma falha em seu contrato inteligente. A exploração levou a uma perda de US $ 6,49 milhões.
Ataque de empréstimo flash
Pesquisador de crypto Weilin (William) Li declarado O fato de o contrato CAULDRONV4 permite que os usuários executem várias ações, com a verificação de solvência ocorrendo no final do processo. Nesse caso, o invasor executou sete ações, cinco das quais envolveram emprestar o Magic Internet Money (MIM) Stablecoin, seguido por chamando o contrato de ataque e iniciando a liquidação.
A análise inicial de Li sugere que a primeira ação, emprestando MIM, já aumentou a dívida do invasor, tornando possível a liquidação (ação 31). Essa liquidação, no entanto, foi suspeitamente executada em um estado de empréstimo em flash – onde o mutuário não tinha garantia.
Ele também apontou que o invasor lucrou com incentivos de liquidação e explorou o fato de que a verificação de solvência só ocorreu após a conclusão de todas as ações, o que permitiu ao invasor contornar as proteções do sistema.
Binance grátis US $ 600 (exclusivo de Cryptopotato): Use este link Para registrar uma nova conta e receber uma oferta de boas -vindas exclusiva de US $ 600 no Binance (detalhes completos).
Oferta limitada para leitores de Cryptopotato no Bybit: Use este link Para se registrar e abrir uma posição gratuita de US $ 500 em qualquer moeda!
