TechFlowの報道によると、イーサリアムの流動性再ステーキングプールAstridはXプラットフォームでそのスマートコントラクトが攻撃を受けたことを発表した。Astridは直ちにコントラクトを停止し、すべての保有者に対してスナップショットを実施、全額補償を行うと述べた。
その後、Astridは預入ユーザーおよび流動性提供者の補償統計表を公開(内部チームの内部預入は含まない)。流動性提供者にはステークされたETHトークンの形で補償が行われる。Astridは後に更新し、すべてのユーザーへの損失補償が完了したことを明らかにし、スマートコントラクトは当面停止状態を維持すると述べた。
トランザクションブラウザPhalconの分析によると、Astridが攻撃された原因は引き出し機能に脆弱性があったためである。withdraw()関数のパラメータ(つまりトークンアドレスと数量)が操作可能であった。具体的な攻撃手順は以下の通り:
- 攻撃者が3種類の偽トークン:A、B、Cを作成。
- 偽トークン1を使用して引き出しを行い、stETHを取得。
- 偽トークン2を使用して引き出しを行い、rETHを取得。
- 偽トークン3を使用して引き出しを行い、cbETHを取得。
- その後、攻撃者はstETH、rETH、cbETHをETHに交換。




