Hacker stiehlt 13 Millionen Dollar in Abracadabras 'Magic Internet Money' scheinbar durch einen Flash-Loan-Angriff

Mehrere Millionen Dollar an Token wurden aus den „Kesseln“ des DeFi-Protokolls Abracadabra/Spell nach einem gezielten Hack abgezogen, so die Sicherheitsfirma Pecksheild. Eine Schwachstelle in den Smart Contracts des Protokolls ermöglichte es dem Angreifer, etwa 6.262 ETH, im Wert von rund 13 Millionen Dollar, aus den Liquiditätspools abzuziehen.

Die Kessel von Abracadabra/Spell sind Smart Contracts, die die Liquiditätspools der dezentralen Börse GMX für On-Chain-Kreditvergabe und -aufnahme nutzen. Der Exploit schien den Liquidationsprozess in der Integration der Abracadabra-Kessel in die GM-Pools von GMX V2 zu manipulieren. 

„Bei der Durchführung der Liquidation hat sich der Angreifer tatsächlich selbst in einem FLASHLOAN-Zustand (P4) liquidiert – wobei der Kreditnehmer (der liquidiert wurde) tatsächlich keine Sicherheiten hatte“, sagte der Krypto-Forscher Weilin (William) Li auf X in einem ersten Blick auf die Situation. Ein Flash Loan ist eine DeFi-native Handelsstrategie, bei der ein Benutzer einen unbesicherten Kredit aufnimmt und ihn innerhalb desselben Blocks zurückzahlt.

Li fügte hinzu, dass der Angreifer einen siebenstufigen Prozess nutzte, um einen Kredit der algorithmischen Stablecoin Magic Internet Money von Abracadabra zu leihen und zu liquidieren. „Und der Gewinn des Angreifers stammt aus den Liquidationsanreizen (weil am Ende der Funktion cook das eoa des Angreifers solvent sein muss)“, sagte er. 

GMX V2 verwendet einen zweistufigen Handelsprozess, bei dem Aufträge von „Keepers“ erstellt und erfüllt werden, um Front-Running zu verhindern. Dieses Fenster zwischen Auftragserstellung und -erfüllung könnte eine Angriffsfläche für den Angreifer geboten haben, obwohl ein GMX-Entwickler darauf hinwies, dass die Kernverträge von GMX nicht betroffen waren.

„Zur Klarstellung: GMX-Verträge sind nicht betroffen“, sagte @Jonas_ALA auf X. „Es bezieht sich auf die Kessel von Spell, die auf den GM-Pools von GMX V2 basieren. Die Mitwirkenden untersuchen derzeit die Ursache, und ich möchte mich aufrichtig bei allen Betroffenen entschuldigen. Das ist sehr bedauerlich.“

Die gestohlenen Gelder wurden inzwischen von Arbitrum nach Ethereum überbrückt.

Im Januar 2024 wurde die MIM-Stablecoin von Abracadabra manipuliert, was zu Verlusten in Höhe von fast 6,5 Millionen Dollar führte.