深潮 TechFlow 消息,以太坊流动性再质押池Astrid在X平台发文表示,其智能合约遭攻击。Astrid已经暂停合约,已对所有持有者进行快照,并将提供全额补偿。
随后,Astrid发布了存款用户和流动性提供者的补偿统计表格(不包括内部团队的内部存款)。流动性提供者将以质押ETH代币的形式获得补偿。Astrid之后更新表示,已经补偿了所有用户的损失,智能合约将继续暂停。
根据交易浏览器Phalcon的分析,Astrid遭受攻击是因为提现功能存在漏洞。withdraw()函数的参数(即代币地址和代币数量)可以被操控。攻击的具体流程如下:
- 攻击者创建了三种假代币:A、B和C。
- 使用假代币1进行提现,以获取stETH。
- 使用假代币2进行提现,以获取rETH。
- 使用假代币3进行提现,以获取cbETH。
- 随后,攻击者将stETH、rETH和cbETH转换为ETH。




