Abracadabra / Spell Defi Exploit draine des millions de personnes du protocole cryptographique

Les pirates ont réussi à drainer les fonds du système de contrat intelligent de la plate-forme, appelé «chaudrons», dans une attaque évaluée à environ 13 millions de dollars.

A DeFi exploiter has drained approximately $13 million from Abracadabra/Spell’s smart contract system, known as cauldrons, in an attack that took advantage of a vulnerability in the protocol’s integration with GMX V2’s liquidity pools, according to Peckshield.

Un exploiteur Defi a drainé environ 13 millions de dollars du système de contrat intelligent d'Abracadabra / Spell, appelé chaudrons, dans une attaque qui a profité d'une vulnérabilité dans l'intégration du protocole avec les pools de liquidité de GMX V2, selon Peckshield.

The security firm reports that the attacker stole over 6,200 ETH, exploiting a gap in the protocol’s smart contracts, which allowed them to siphon off a portion of the funds.

La société de sécurité rapporte que l'attaquant a volé plus de 6 200 ETH, exploitant une lacune dans les contrats intelligents du protocole, ce qui leur a permis de siphonner une partie des fonds.

How the DeFi Exploit Took Place

Comment l'exploit Defi a eu lieu

Abracadabra/Spell’s cauldrons leverage liquidity from the GMX decentralized exchange to facilitate on-chain lending and borrowing. The attack appears to have been a well-crafted exploitation of the protocol’s interaction with GMX V2’s V2 liquidity pools.

Les chaudrons d'Abracadabra / Spell tirent parti de la liquidité de l'échange décentralisé GMX pour faciliter les prêts et l'emprunt sur la chaîne. L'attaque semble avoir été une exploitation bien conçue de l'interaction du protocole avec les pools de liquidité V2 de GMX V2.

Researchers suggest the attacker used a flash loan, a commonly employed DeFi strategy where users borrow funds without collateral, and manipulated the liquidation process within this context.

Les chercheurs suggèrent que l'attaquant a utilisé un prêt flash, une stratégie de défi couramment utilisée où les utilisateurs empruntent des fonds sans garantie et manipulé le processus de liquidation dans ce contexte.

According to blockchain expert Weilin Li, the attacker took advantage of a specific feature in Abracadabra’s stablecoin system, Magic Internet Money (MIM), which allowed them to borrow and subsequently liquidate funds in a way that bypassed standard collateral requirements.

Selon l'expert de la blockchain Weilin Li, l'attaquant a profité d'une caractéristique spécifique du système de stablecoin d'Abracadabra, Magic Internet Money (MIM), qui leur a permis d'emprunter et de liquider par la suite des fonds d'une manière qui a contourné les exigences collatérales standard.

Li further explained that the attacker’s profits stemmed from incentives tied to liquidation events, ultimately ensuring the success of their exploit.

Li a en outre expliqué que les bénéfices de l'attaquant provenaient d'incitations liées aux événements de liquidation, garantissant finalement le succès de leur exploit.

GMX V2: Two-Step Trading Process and the Exploit Surface

GMX V2: processus de trading en deux étapes et surface d'exploitation

The exploit seems to have been made possible by a potential gap in GMX V2’s two-step trading process, designed to prevent front-running. This process involves "keepers," who handle order creation and fulfillment.

L'exploit semble avoir été rendu possible par un écart potentiel dans le processus de trading en deux étapes de GMX V2, conçu pour empêcher le premier cycle. Ce processus implique des «gardiens», qui gèrent la création et la réalisation de l'ordre.

The interval between placing an order and its execution might have provided the attacker with a chance to manipulate the system. However, despite this, GMX developers confirmed that their core contracts remained secure and unaffected by the breach.

L'intervalle entre passer une commande et son exécution aurait pu fournir à l'attaquant la possibilité de manipuler le système. Cependant, malgré cela, les développeurs de GMX ont confirmé que leurs contrats de base étaient restés sécurisés et non affectés par la violation.

A statement from a GMX developer clarified that the issue was tied to Abracadabra’s integration with GMX’s pools, not any weakness in GMX’s core system. The developer expressed their regret for the situation and assured the community that an investigation was underway to determine the exact cause of the exploit.

Une déclaration d'un développeur GMX a précisé que le problème était lié à l'intégration d'Abracadabra avec les pools de GMX, pas une faiblesse dans le système principal de GMX. Le développeur a exprimé son regret pour la situation et a assuré à la communauté qu'une enquête était en cours pour déterminer la cause exacte de l'exploit.

Stolen Funds Moved to Ethereum

Des fonds volés ont déménagé à Ethereum

Following the breach, the stolen funds were quickly bridged from Arbitrum, the layer 2 scaling solution, to the Ethereum mainnet. This event serves as a reminder of the vulnerabilities that can exist within the rapidly evolving world of decentralized finance.

Après la brèche, les fonds volés ont été rapidement pontés d'Arbitrum, la solution de mise à l'échelle de la couche 2, au MainNet Ethereum. Cet événement rappelle les vulnérabilités qui peuvent exister dans le monde en évolution rapide de la finance décentralisée.

Earlier this year, another exploiter targeted Abracadabra’s MIM stablecoin, resulting in losses of nearly $6.5 million. The ongoing concerns regarding vulnerabilities in smart contract systems highlight the urgent need for more robust security practices in the DeFi space.

Plus tôt cette année, un autre exploiteur a ciblé MIM Stablecoin d'Abracadabra, entraînant des pertes de près de 6,5 millions de dollars. Les préoccupations en cours concernant les vulnérabilités dans les systèmes de contrats intelligents mettent en évidence le besoin urgent de pratiques de sécurité plus robustes dans l'espace Defi.