GMX verteidigt Verträge nach Verlust von 13 Millionen $, der auf Abracadabra’s Cauldron-Exploit zurückzuführen ist
Das prominente Blockchain-Sicherheitsunternehmen PeckShield berichtete von einem Exploit, der die dezentrale Börse (DEX) GMX betrifft und die Aufmerksamkeit auf Schwachstellen innerhalb des Abracadabra (Spell) Ökosystems lenkt.
Der Vorfall, der mit den Cauldrons von Abracadabra in Verbindung steht – Smart Contracts, die DeFi-Operationen wie Kreditvergabe, Kreditaufnahme und Liquiditätsbereitstellung erleichtern – führte zu einem Diebstahl von etwa 6.260 Ethereum, was ungefähr 13 Millionen $ entspricht.
GMX versichert, dass Verträge sicher bleiben
Während der Angriff erhebliche Aufmerksamkeit erregt hat, stellte GMX schnell klar, dass seine Verträge nicht kompromittiert wurden. Tatsächlich war das Problem auf die Integration zwischen GMX V2 und den Cauldrons von Abracadabra beschränkt, die die Liquiditätspools von GMX für ihre Operationen nutzen. Das Team versicherte der Gemeinschaft, dass es von dem Vorfall nicht betroffen war und bestätigte, dass keine Schwachstellen innerhalb der eigenen Smart Contracts von GMX gefunden wurden.
Das Team erklärte weiter, dass das Abracadabra-Team zusammen mit externen Sicherheitsexperten aktiv die Sicherheitslücke untersucht, um deren Ursache zu bestimmen und zukünftige Vorfälle zu verhindern. Dieser Vorfall ist besonders bemerkenswert, da er die anhaltenden Sicherheitsherausforderungen im weiteren DeFi-Ökosystem hervorhebt.
Er folgt auch einem vorherigen Sicherheitsvorfall im Januar 2024, als der Magic Internet Money (MIM) Stablecoin von Abracadabra aufgrund eines Fehlers in seinem Smart Contract ausgenutzt wurde. Der Exploit führte zu einem Verlust von 6,49 Millionen $.
Flash Loan Angriff
Der Krypto-Forscher Weilin (William) Li erklärte, dass der CauldronV4-Vertrag es Benutzern erlaubt, mehrere Aktionen durchzuführen, wobei die Solvenzprüfung am Ende des Prozesses erfolgt. In diesem Fall führte der Angreifer sieben Aktionen durch, von denen fünf das Leihen des Magic Internet Money (MIM) Stablecoins beinhalteten, gefolgt vom Aufruf des Angriffskontrakts und der Einleitung der Liquidation.
Lis erste Analyse legt nahe, dass die erste Aktion, das Leihen von MIM, die Schulden des Angreifers bereits erhöhte, was die Liquidation (Aktion 31) ermöglichte. Diese Liquidation wurde jedoch verdächtig in einem Flash Loan-Zustand ausgeführt – wobei der Kreditnehmer keine Sicherheiten hatte.
Er wies auch darauf hin, dass der Angreifer von Liquidationsanreizen profitierte und die Tatsache ausnutzte, dass die Solvenzprüfung erst nach Abschluss aller Aktionen erfolgte, was es dem Angreifer ermöglichte, die Schutzmechanismen des Systems zu umgehen.

