Firma PeckShield, specjalizująca się w bezpieczeństwie blockchain, ujawniła niedawno, że krytyczna luka w znanym ekosystemie zdecentralizowanych finansów (DeFi) została wykorzystana, co doprowadziło do poważnego naruszenia bezpieczeństwa zdecentralizowanej giełdy GMX. Zgodnie z analizą, źródłem exploitu były słabości w protokole powiązanym z Abracadabra, a konkretnie w kontraktach znanych jako CauldronV4.
Incydent doprowadził do nieautoryzowanej wypłaty około 6 260 ETH, o szacunkowej wartości około 13 milionów USD. Atakujący zmanipulował integrację między GMX V2 a pulami płynności dostarczanymi przez protokół Abracadabra, co ostatecznie skompromitowało system poprzez serię działań, w tym zaawansowaną operację flash loan.
Dochodzenie i reakcja
W odpowiedzi na naruszenie bezpieczeństwa, GMX niezwłocznie potwierdził atak za pośrednictwem swojego oficjalnego konta na X. Przedstawiciele firmy zapewnili użytkowników, że choć incydent jest alarmujący, to podstawowe fundusze giełdy pozostają zabezpieczone. Wygląda na to, że luka jest ograniczona do interakcji między strukturą płynności GMX a zewnętrznymi kontraktami protokołu.
Dotknięta platforma podkreśliła, że integracja z Abracadabra została wykorzystana poprzez wykorzystanie opóźnienia w systemie sprawdzania wypłacalności. Atak rozwinął się w sekwencji siedmiu operacji. Warto zauważyć, że pięć z tych działań obejmowało pożyczanie stablecoina MIM, po czym złośliwe wywołanie kontraktu zainicjowało proces likwidacji w warunkach flash loan. Ta strategia pozwoliła atakującemu ominąć zabezpieczenia, które w innym przypadku uniemożliwiłyby takie wykorzystanie.
Techniczny opis exploitu
| Krok | Opis |
| 1 | Atakujący inicjuje serię operacji w kontrakcie CauldronV4. |
| 2 | Wykonuje się wiele operacji pożyczkowych, głównie z wykorzystaniem stablecoina MIM. |
| 3 | Wywoływane jest złośliwe wywołanie kontraktu, ustawiające warunek likwidacji. |
| 4 | Mechanizm flash loan zostaje wykorzystany do przeprowadzenia likwidacji bez potrzeby zabezpieczenia. |
Patrząc w przyszłość
W świetle tego incydentu, zespół programistów stojący za protokołem Abracadabra rozpoczął dokładne dochodzenie w celu ustalenia przyczyn tych luk. Ich bezpośrednim celem jest wzmocnienie protokołów bezpieczeństwa systemu, aby zapobiec podobnym naruszeniom w przyszłości.
To zdarzenie nie jest pierwszym problemem związanym z bezpieczeństwem tego protokołu. We wcześniejszym incydencie w tym roku, luka w smart kontrakcie zarządzającym stablecoinem w ekosystemie doprowadziła do znacznych strat finansowych. Chociaż szczegóły tego zdarzenia zostały częściowo zredagowane dla jasności w niniejszym opisie, podkreśla to ciągłe wyzwania, przed którymi stoją platformy zdecentralizowanych finansów w zakresie zabezpieczania swoich operacji.
Wraz z kontynuacją dochodzenia, eksperci branżowi podkreślają znaczenie rygorystycznych audytów bezpieczeństwa i utrzymywania solidnych, aktualnych kontroli w celu ochrony użytkowników w szybko rozwijającym się krajobrazie blockchain.
Mateusz jest programistą blockchain, który swoją przygodę z kryptowalutami rozpoczął w czasach, gdy mało kto wiedział, czym jest Bitcoin. Od tamtej pory uczestniczył w wielu innowacyjnych projektach, pomagając w rozwoju zdecentralizowanych aplikacji. Mówi się, że kiedy na horyzoncie widać „zieloną świecę”, Mateusz rzuca wszystko i biegnie do komputera, bo „przecież samo się nie zahodluje”!