GMX يدافع عن العقود بعد خسارة 13 مليون دولار مرتبطة باستغلال Cauldron من Abracadabra

أبلغت شركة Peckshield البارزة في شركة Peckshield عن استغلال تشمل التبادل اللامركزي GMX (DEX) ، مما لفت الانتباه إلى نقاط الضعف داخل النظام الإيكولوجي لـ Abracadabra (Spell).

أدت الحادث ، المرتبط ببراغي أبراكادابرا – العقود الذكية التي تسهل عمليات DEFI مثل الإقراض والاقتراض وتوفير السيولة – إلى سرقة حوالي 6،260 إيثريوم ، بقيمة 13 مليون دولار تقريبًا.

يؤكد GMX أن العقود لا تزال آمنة

على الرغم من أن الهجوم لفتت انتباهًا كبيرًا ، إلا أن GMX سارع إلى توضيح أن عقوده لم يتم اختراقها. في الواقع ، كانت القضية محصورة في التكامل بين Cauldrons GMX V2 و Abracadabra ، والتي تستخدم مجمعات سيولة GMX لعملياتها. أكد الفريق للمجتمع أنه لم يتأثر بالحادث وأكد أنه لم يتم العثور على نقاط الضعف في العقود الذكية الخاصة بـ GMX.

وأوضح الفريق كذلك أن فريق Abracadabra ، إلى جانب الباحثين الأمن الخارجيين ، كان يحقق بنشاط في خرقه لتحديد قضيته ومنع الحوادث المستقبلية. هذا الحادث جدير بالملاحظة بشكل خاص لأنه يسلط الضوء على التحديات الأمنية المستمرة ضمن النظام البيئي Defi الأوسع.

ويتبع ذلك أيضًا خرقًا أمنيًا سابقًا في يناير 2024 عندما تم استغلال StableCoin Magic Money (MIM) من Abracadabra بسبب عيب في عقده الذكي. أدى الاستغلال إلى خسارة قدرها 6.49 مليون دولار.

هجوم قرض فلاش

صرح باحث Crypto Weilin (William) أن عقد Cauldronv4 يسمح للمستخدمين بإجراء إجراءات متعددة ، مع حدوث فحص الملاءة في نهاية العملية. في هذه الحالة ، أجرى المهاجم سبعة إجراءات ، تضمنت خمسة منها استعارة ماجيك إنترنت الأموال (MIM) StableCoin ، تليها استدعاء عقد الهجوم وبدء التصفية.

يشير التحليل الأولي لـ LI إلى أن الإجراء الأول ، استعارة MIM ، زاد بالفعل من ديون المهاجم ، مما يجعل التصفية (الإجراء 31) ممكنًا. ومع ذلك ، تم تنفيذ هذا التصفية بشكل مثير للريبة في حالة قرض فلاش – حيث لم يكن للمقترض ضمان.

كما أشار إلى أن المهاجم استفاد من حوافز التصفية واستغل حقيقة أن فحص الملاءة قد حدث فقط بعد اكتمال جميع الإجراءات ، مما سمح للمهاجم بالتحايل على حماية النظام.