Insiden keamanan DeFi kembali mengguncang, GMX segera menjauhkan diri

Dunia DeFi kembali mengalami celah keamanan! Lembaga keamanan blockchain PeckShield mengungkapkan bahwa kontrak pintar "Cauldron" dari protokol pinjaman Abracadabra/Spell telah diserang, mengakibatkan 6260 ETH (sekitar 13 juta dolar AS) dicuri.

Perlu dicatat bahwa insiden kali ini juga melibatkan bursa terdesentralisasi terkenal GMX, karena kontrak Abracadabra terhubung langsung dengan kolam likuiditas GMX V2.

Tim GMX dengan cepat mengeluarkan pernyataan untuk menjauhkan diri, menyatakan bahwa kontrak mereka sepenuhnya aman! Mereka menjelaskan bahwa masalah hanya ada di desain kontrak Abracadabra, dan tidak terkait dengan protokol dasar GMX.

Saat ini, tim Abracadabra sedang bekerja sama dengan ahli keamanan eksternal untuk melacak sumber celah keamanan, dan ini adalah kali kedua protokol tersebut terkena masalah tahun ini, pada bulan Januari stablecoin MIM telah mengalami kerugian lebih dari 6,49 juta dolar AS akibat celah kontrak.

Peneliti keamanan Weilin Li menganalisis proses serangan, mengungkap strategi "serangan pinjaman kilat tujuh serangan" yang digunakan oleh hacker. Penyerang pertama-tama melakukan 7 operasi dalam satu transaksi, di mana 5 kali meminjam stablecoin MIM, dan dengan cepat mengumpulkan utang.

Karena kontrak tidak memeriksa rasio jaminan secara real-time setelah setiap pinjaman, menyebabkan rasio utang penyerang dengan cepat melebihi ambang batas keamanan. Selanjutnya, penyerang memanggil kontrak jahat, dan dalam jendela singkat sebelum pinjaman kilat dilunasi, memicu likuidasi terhadap dirinya sendiri.

Singkatnya, penyerang terlebih dahulu meminjam stablecoin MIM untuk menambah utang, kemudian memicu mekanisme likuidasi dalam keadaan pinjaman kilat, sementara sistem tidak dapat mendeteksi kekurangan jaminan. Yang lebih mengejutkan, fungsi akuntansi pembayaran kontrak baru dieksekusi setelah semua operasi selesai, yang memberikan kesempatan bagi penyerang!

Insiden ini kembali mengingatkan kita bahwa untuk menghindari serangan arbitrase serupa, protokol DeFi harus merancang logika manajemen risiko real-time dengan ketat. Selain itu, keamanan kontrak pintar tidak hanya bergantung pada kode itu sendiri, tetapi juga pada pengaturan batasan perilaku keuangan yang wajar.

Apakah insiden semacam ini mempengaruhi kepercayaan Anda terhadap DeFi? Dalam penggunaan protokol DeFi, bagaimana Anda menyeimbangkan pertimbangan hasil dengan keamanan?