Децентралізовані фінанси безпеки подій знову викликали хвилювання, GMX терміново відмежовується від зв'язків.

У сфері Децентралізованих фінансів знову виявлено вразливість безпеки! Блокчейн-безпекова агенція PeckShield повідомила, що смарт-контракт "чарівний казан" (Cauldron) кредитного протоколу Abracadabra/Spell було атаковано, у результаті чого було вкрадено 6260 ETH (близько 1300 тисяч доларів США).

Варто зазначити, що цей інцидент торкнувся відомої децентралізованої біржі GMX, оскільки контракт Abracadabra був безпосередньо підключений до ліквідного пулу GMX V2.

Команда GMX терміново випустила заяву, щоб окреслити межі, стверджуючи, що їхній контракт абсолютно безпечний! І пояснила, що проблема існує лише в дизайні контракту Abracadabra і не має нічого спільного з основним протоколом GMX.

Наразі команда Abracadabra спільно з зовнішніми експертами з безпеки активно розслідує джерело вразливості, це вже вдруге, коли цей протокол зазнає проблем цього року, у січні його стейблкоїн MIM втратив понад 649 тисяч доларів через вразливість контракту.

Безпековий дослідник Вейлінь Лі проаналізував процес атаки, розкривши стратегію "швидких позик сім разів" ("flash loan seven hits") , яку використовували хакери. Атакуючий спочатку виконав 7 операцій в одній транзакції, з яких 5 разів позичив стабільну монету MIM і швидко накопичив борг.

Оскільки контракт не перевіряє співвідношення застави в реальному часі після кожного кредитування, це призводить до того, що співвідношення боргу атакуючого швидко перевищує безпечний поріг. Потім атакуючий викликав шкідливий контракт, що спровокувало ліквідацію самого себе у короткий проміжок часу, поки флеш-кредит ще не було погашено.

Простіше кажучи, зловмисник спочатку позичає стабільну монету MIM, щоб збільшити борг, а потім у стані миттєвого кредиту активує механізм ліквідації, при цьому система не може виявити недостатність застави. Ще більш вражаюче те, що функція розрахунку погашення контракту виконується лише після завершення всіх операцій, що також дає зловмиснику можливість!

Ця подія знову нагадує нам, що для уникнення подібних арбітражних атак, протоколи Децентралізованих фінансів повинні бути строго спроектовані з реальним управлінням ризиками. Крім того, безпека смарт-контрактів залежить не тільки від самого коду, а й від розумного визначення меж фінансової поведінки.

Чи впливають подібні події на вашу довіру до Децентралізованих фінансів? Як ви збалансовуєте доходність та безпеку при використанні DeFi протоколів?

#DeFi安全 #GMX #Abracadabra #атака з миттєвим кредитом