イーサリアム再ステーキングプールAstridが攻撃を受け、スマートコントラクトを停止し、ユーザーの損失を補償しました。

ChainCatcher のメッセージ、イーサリアム流動性再ステーキングプール Astrid が、そのスマートコントラクトが攻撃を受けたと発表しました。Astrid はすでにコントラクトを停止し、すべての保有者に対してスナップショットを取得し、全額補償を提供する予定です。

その後、Astrid は預金ユーザーと流動性提供者の補償統計表を発表しました（内部チームの内部預金は含まれていません）。流動性提供者は、ステーキング ETH トークンの形で補償を受け取ります。Astrid はその後、すべてのユーザーの損失を補償したと更新し、スマートコントラクトは引き続き停止します。取引ブラウザ Phalcon の分析によると、Astrid は出金機能に欠陥があったため攻撃を受けました。withdraw() 関数のパラメータ（すなわちトークンアドレスとトークン数量）は操作可能でした。具体的な攻撃の流れは以下の通りです：

1. 3 つの偽トークンを作成：A、B、C。
2. 偽トークン 1 を使用して出金し、stETH を受け取る。
3. 偽トークン 2 を使用して出金し、rETH を受け取る。
4. 偽トークン 3 を使用して出金し、cbETH を受け取る。
5. stETH、rETH、cbETH を ETH に変換する。