TechFlow, l'actualité en continu — Le protocole de re-staking de liquidité Astrid a publié sur la plateforme X que ses contrats intelligents ont été victimes d'une attaque. Astrid a suspendu les contrats, effectué un instantané de tous les détenteurs et assurera une compensation intégrale.
Par la suite, Astrid a publié un tableau de compensation pour les utilisateurs ayant déposé des fonds et les fournisseurs de liquidité (à l'exclusion des dépôts internes de l'équipe). Les fournisseurs de liquidité seront indemnisés sous forme de jetons ETH mis en staking. Astrid a ensuite mis à jour son message en indiquant avoir déjà compensé toutes les pertes des utilisateurs ; toutefois, les contrats intelligents resteront suspendus.
Selon l'analyse du navigateur de transactions Phalcon, l'attaque contre Astrid était rendue possible par une vulnérabilité dans la fonction de retrait. Les paramètres de la fonction withdraw() (c’est-à-dire l’adresse du jeton et la quantité) pouvaient être manipulés. Le processus précis de l’attaque est le suivant :
- L’attaquant a créé trois faux jetons : A, B et C.
- Utilisation du faux jeton 1 pour retirer des fonds et obtenir des stETH.
- Utilisation du faux jeton 2 pour retirer des fonds et obtenir des rETH.
- Utilisation du faux jeton 3 pour retirer des fonds et obtenir des cbETH.
- L’attaquant a ensuite converti les stETH, rETH et cbETH en ETH.




