TechFlow đưa tin, nhóm thanh khoản tái đặt cược Ethereum Astrid đăng thông báo trên nền tảng X cho biết hợp đồng thông minh của họ đã bị tấn công. Astrid đã tạm dừng hợp đồng, thực hiện chụp nhanh (snapshot) đối với tất cả người nắm giữ và sẽ bồi thường đầy đủ tổn thất.
Sau đó, Astrid đã công bố bảng thống kê bồi thường dành cho người gửi tiền và nhà cung cấp thanh khoản (không bao gồm các khoản gửi nội bộ của đội ngũ nội bộ). Nhà cung cấp thanh khoản sẽ nhận được bồi thường dưới dạng token ETH đã đặt cược. Astrid sau đó cập nhật thêm rằng đã bồi thường toàn bộ tổn thất cho tất cả người dùng, hợp đồng thông minh sẽ tiếp tục bị tạm dừng.
Theo phân tích từ trình duyệt giao dịch Phalcon, vụ tấn công xảy ra do chức năng rút tiền có lỗ hổng. Các tham số trong hàm withdraw() (địa chỉ token và số lượng token) có thể bị thao túng. Quy trình cụ thể của cuộc tấn công như sau:
- Kẻ tấn công tạo ra ba loại token giả: A, B và C.
- Dùng token giả 1 để rút tiền, nhằm lấy stETH.
- Dùng token giả 2 để rút tiền, nhằm lấy rETH.
- Dùng token giả 3 để rút tiền, nhằm lấy cbETH.
- Sau đó, kẻ tấn công chuyển đổi stETH, rETH và cbETH thành ETH.




