TechFlow 소식, 이더리움 유동성 재스테이킹 풀 아스트리드(Astrid)가 X 플랫폼을 통해 스마트 계약이 공격을 당했다고 밝혔다. 아스트리드는 계약을 일시 중단하고 모든 보유자에 대한 스냅샷을 완료했으며, 전액 보상을 제공할 예정이라고 전했다.
이후 아스트리드는 입금 사용자와 유동성 제공자의 보상 통계표를 발표했다(내부 팀의 내부 입금은 제외). 유동성 제공자는 스테이킹된 ETH 토큰 형태로 보상을 받게 된다. 아스트리드는 이후 업데이트를 통해 모든 사용자의 손실에 대한 보상을 완료했으며, 스마트 계약은 계속해서 일시 중단될 것이라고 밝혔다.
트랜잭션 브라우저 팔콘(Phalcon)의 분석에 따르면, 아스트리드가 공격당한 원인은 인출 기능에 취약점이 있었기 때문이다. withdraw() 함수의 매개변수(즉, 토큰 주소 및 토큰 수량)가 조작될 수 있었다. 구체적인 공격 절차는 다음과 같다:
- 공격자가 가짜 토큰 A, B, C 세 종류를 생성한다.
- 가짜 토큰 1을 사용해 stETH를 인출한다.
- 가짜 토큰 2를 사용해 rETH를 인출한다.
- 가짜 토큰 3을 사용해 cbETH를 인출한다.
- 그 후 공격자는 stETH, rETH, cbETH를 ETH로 변환한다.




