Ether Re-Pledge Pool Astrid Diserang, Telah Menangguhkan Smart Contract dan Mengkompensasi Kerugian Pengguna

Astrid, pool repledging likuiditas ethereum, memposting di platform X bahwa kontrak pintarnya telah diserang, Astrid telah menangguhkan kontrak, telah mengambil snapshot dari semua pemegang, dan akan memberikan kompensasi penuh. Astrid telah merilis tabel statistik kompensasi untuk pengguna setoran dan penyedia likuiditas (tidak termasuk setoran internal dari tim internal). Penyedia likuiditas akan diberi kompensasi dalam bentuk token ETH yang dijaminkan, Astrid telah memperbarui bahwa mereka telah memberikan kompensasi kepada semua pengguna atas kerugian mereka. Analisis oleh peramban perdagangan Phalcon menunjukkan bahwa Astrid diserang karena adanya cacat pada fungsi penarikan. parameter dari fungsi withdraw() (yaitu alamat token dan jumlah token) dapat dimanipulasi. Proses serangannya adalah sebagai berikut: 1. Buatlah 3 token palsu: A, B dan C. 2. Gunakan token palsu 1 untuk menarik dan menerima stETH. 3. Tarik dan terima rETH dengan token palsu 2. 4. Tarik dan terima rETH dengan token palsu 3. 4. Tarik dengan token palsu 3 dan terima cbETH. 5. 5. Ubah stETH, rETH, dan cbETH menjadi ETH.