L'importante società di sicurezza blockchain PeckShield ha segnalato un exploit che coinvolge l'exchange decentralizzato GMX (DEX), che ha attirato l'attenzione sulle vulnerabilità all'interno dell'ecosistema Abracadabra (Spell).
L'incidente, legato ai calderoni di Abracadabra – contratti intelligenti che facilitano le operazioni DeFi come prestiti, prestiti e fornitura di liquidità – ha portato al furto di circa 6.260 Ethereum, per un valore di circa 13 milioni di dollari.
GMX garantisce che i contratti rimangano sicuri
Sebbene l’attacco abbia attirato notevole attenzione, GMX si è affrettata a chiarire che i suoi contratti non erano stati compromessi. In realtà, la questione si limitava all'integrazione tra GMX V2 e i calderoni di Abracadabra, che utilizzano i pool di liquidità di GMX per le loro operazioni. Il team ha assicurato alla comunità di non essere stata colpita dall'incidente e ha confermato che non è stata rilevata alcuna vulnerabilità all'interno dei contratti intelligenti di GMX.
Il team ha inoltre spiegato che il team di Abracadabra, insieme a ricercatori esterni sulla sicurezza, stava indagando attivamente sulla violazione per determinarne la causa e prevenire futuri incidenti. Questo incidente è particolarmente degno di nota in quanto evidenzia le continue sfide alla sicurezza all’interno del più ampio ecosistema DeFi.
Fa seguito anche a una precedente violazione della sicurezza avvenuta nel gennaio 2024, quando la stablecoin Magic Internet Money (MIM) di Abracadabra è stata sfruttata a causa di un difetto nel suo contratto intelligente. L'exploit ha portato a una perdita di 6,49 milioni di dollari.
Attacco al prestito lampo
Il ricercatore crittografico Weilin (William) Li ha affermato che il contratto CauldronV4 consente agli utenti di eseguire più azioni, con il controllo della solvibilità che avviene alla fine del processo. In questo caso, l’aggressore ha eseguito sette azioni, cinque delle quali prevedevano il prestito della stablecoin Magic Internet Money (MIM), la revoca del contratto di attacco e l’avvio della liquidazione.
L'analisi iniziale di Li suggerisce che la prima azione, prendere in prestito MIM, ha già aumentato il debito dell'aggressore, rendendo possibile la liquidazione (azione 31). Questa liquidazione, tuttavia, è stata eseguita in modo sospetto in uno stato di prestito lampo, in cui il mutuatario non aveva garanzie reali.
Ha inoltre sottolineato che l'aggressore ha approfittato degli incentivi alla liquidazione e ha sfruttato il fatto che il controllo della solvibilità avviene solo dopo che tutte le azioni sono state completate, cosa che ha consentito all'aggressore di aggirare le protezioni del sistema.
Il post GMX difende i contratti dopo una perdita di 13 milioni di dollari legata all'exploit di Cauldron di Abracadabra è apparso per la prima volta su CryptoPotato .