Un nouvel incident de sécurité dans la Finance décentralisée fait des vagues, GMX se dissocie d'urgence.

Une nouvelle vulnérabilité de sécurité apparaît dans le cercle DeFi ! L'agence de sécurité blockchain PeckShield a révélé que le contrat intelligent "Cauldron" du protocole de prêt Abracadabra/Spell a été attaqué, entraînant le vol de 6260 ETH (environ 1,3 million de dollars).

Il est à noter que cet événement a également touché le célèbre échange décentralisé GMX, car le contrat d'Abracadabra était directement connecté à la pool de liquidités GMX V2.

L'équipe GMX a rapidement publié une déclaration pour se distancier, affirmant que leur contrat est absolument sûr ! Ils expliquent que le problème ne se trouve que dans la conception du contrat d'Abracadabra et n'est pas lié au protocole sous-jacent de GMX.

L'équipe d'Abracadabra travaille actuellement avec des experts en sécurité externes pour traquer la source de la vulnérabilité. C'est déjà la deuxième fois cette année que ce protocole est touché, en janvier, son stablecoin MIM a perdu plus de 6,49 millions de dollars en raison d'une faille dans le contrat.

Le chercheur en sécurité Weilin Li a analysé le processus d'attaque et a révélé la stratégie des hackers appelée "frappe éclair en sept mouvements". L'attaquant a d'abord exécuté 7 opérations dans une seule transaction, dont 5 emprunts de MIM en tant que stablecoin, accumulant rapidement de la dette.

En raison du fait que le contrat ne vérifie pas en temps réel le ratio de collatéral après chaque emprunt, cela a entraîné une augmentation rapide du ratio de dette de l'attaquant au-delà du seuil de sécurité. Par la suite, l'attaquant a appelé un contrat malveillant, déclenchant ainsi sa liquidation dans une fenêtre de temps brève avant le remboursement du prêt flash.

En termes simples, l'attaquant emprunte d'abord des stablecoins MIM pour augmenter sa dette, puis déclenche le mécanisme de liquidation sous l'état de prêt flash, tandis que le système ne parvient pas à détecter la situation de sous-collatéralisation. Plus choquant encore, la fonction de calcul de remboursement du contrat ne s'exécute qu'après l'achèvement de toutes les opérations, ce qui offre une opportunité à l'attaquant !

Cet événement nous rappelle une fois de plus que, pour éviter des attaques d'arbitrage similaires, les protocoles de Finance décentralisée doivent concevoir un système de gestion des risques en temps réel de manière stricte. De plus, la sécurité des contrats intelligents ne repose pas seulement sur le code lui-même, mais aussi sur la définition raisonnable des limites des comportements financiers.

De tels événements se produisant à la périphérie affecteront-ils votre confiance dans la Finance décentralisée ? Dans l'utilisation des protocoles de Finance décentralisée, comment équilibriez-vous le rendement et les considérations de sécurité ?

#DeFi安全 #GMX #Abracadabra #attaque de prêt flash