이더리움 재스테이킹 풀 Astrid가 공격을 받아 스마트 계약을 중단하고 사용자 손실을 보상했습니다

ChainCatcher 메시지, 이더리움 유동성 재스테이킹 풀 Astrid에서 스마트 계약이 공격받았다고 발표했습니다. Astrid는 계약을 중단했으며, 모든 보유자에 대한 스냅샷을 찍었고 전액 보상을 제공할 것입니다.

이후 Astrid는 예치 사용자와 유동성 제공자 보상 통계표를 발표했습니다(내부 팀의 내부 예치는 제외됨). 유동성 제공자는 스테이킹 ETH 토큰 형태로 보상을 받을 것입니다. Astrid는 이후 모든 사용자 손실을 보상했으며, 스마트 계약은 계속 중단될 것이라고 업데이트했습니다. 거래 브라우저 Phalcon 분석에 따르면, Astrid는 출금 기능의 결함으로 인해 공격을 받았습니다. withdraw() 함수의 매개변수(즉, 토큰 주소와 토큰 수량)는 조작될 수 있습니다. 구체적인 공격 과정은 다음과 같습니다:

1. 3개의 가짜 토큰 생성: A, B, C.
2. 가짜 토큰 1로 출금하고 stETH를 수령.
3. 가짜 토큰 2로 출금하고 rETH를 수령.
4. 가짜 토큰 3으로 출금하고 cbETH를 수령.
5. stETH, rETH, cbETH를 ETH로 변환.