أبلغت شركة PeckShield الأمنية البارزة في مجال blockchain عن استغلال يتعلق بالبورصة اللامركزية GMX (DEX)، والتي لفتت الانتباه إلى نقاط الضعف داخل النظام البيئي Abracadabra (Spell).
أدى الحادث المرتبط بمراجل Abracadabra – العقود الذكية التي تسهل عمليات التمويل اللامركزي مثل الإقراض والاقتراض وتوفير السيولة – إلى سرقة ما يقرب من 6260 إيثريوم، بقيمة 13 مليون دولار تقريبًا.
تضمن GMX بقاء العقود آمنة
على الرغم من أن الهجوم جذب اهتمامًا كبيرًا، إلا أن GMX سارعت إلى توضيح أن عقودها لم تتعرض للخطر. في الواقع، اقتصرت المشكلة على التكامل بين GMX V2 وAbracadabra Cauldrons، اللذين يستخدمان مجمعات السيولة GMX في عملياتهما. وأكد الفريق للمجتمع أنه لم يتأثر بالحادث وأكد أنه لم يتم العثور على أي ثغرات أمنية في العقود الذكية الخاصة بشركة GMX.
وأوضح الفريق أيضًا أن فريق Abracadabra، جنبًا إلى جنب مع باحثين أمنيين خارجيين، كانوا يحققون بنشاط في الاختراق لتحديد سببه ومنع وقوع حوادث مستقبلية. تعتبر هذه الحادثة جديرة بالملاحظة بشكل خاص لأنها تسلط الضوء على التحديات الأمنية المستمرة داخل النظام البيئي الأوسع للتمويل اللامركزي.
ويأتي أيضًا بعد خرق أمني سابق في يناير 2024، عندما تم استغلال عملة Abracadabra's Magic Internet Money (MIM) المستقرة بسبب وجود خلل في عقدها الذكي. أدى الاستغلال إلى خسارة 6.49 مليون دولار.
الهجوم على القرض السريع
قال باحث العملات المشفرة، ويلين (ويليام) لي، إن عقد CauldronV4 يسمح للمستخدمين بتنفيذ إجراءات متعددة، مع إجراء فحص الائتمان في نهاية العملية. في هذه الحالة، نفذ المهاجم سبعة إجراءات، خمسة منها تضمنت إقراض العملة المستقرة Magic Internet Money (MIM)، وإلغاء عقد الهجوم، وبدء التصفية.
يشير تحليل لي الأولي إلى أن الإجراء الأول، وهو اقتراض MIM، قد أدى بالفعل إلى زيادة ديون المهاجم، مما جعل التصفية ممكنة (الإجراء 31). ومع ذلك، تم تنفيذ هذه التصفية بشكل مثير للريبة في حالة القرض السريع، حيث لم يكن لدى المقترض أي ضمانات.
كما أبرز أن المهاجم استغل حوافز التصفية واستغل حقيقة أن التحقق من الائتمان لا يحدث إلا بعد اكتمال جميع الإجراءات، مما سمح للمهاجم بتجاوز وسائل حماية النظام.
منشور GMX يدافع عن العقود بعد خسارة 13 مليون دولار مرتبطة باستغلال Abracadabra's Cauldron ظهرت للمرة الأولى على CryptoPotato .