Tin tức về ChainCatcher, nhóm cam kết lại thanh khoản Ethereum, Astrid đã đưa ra một tuyên bố cho biết hợp đồng thông minh của họ đã bị tấn công. Astrid đã đình chỉ hợp đồng, chụp ảnh nhanh tất cả những người nắm giữ và sẽ bồi thường đầy đủ.
Astrid kể từ đó đã công bố một bảng thống kê về khoản bồi thường của người dùng tiền gửi và nhà cung cấp thanh khoản (không bao gồm tiền gửi nội bộ từ các nhóm nội bộ). Các nhà cung cấp thanh khoản sẽ được bồi thường dưới dạng token ETH đặt cọc. Astrid sau đó đã cập nhật và tuyên bố rằng mọi tổn thất của người dùng đã được bồi thường và hợp đồng thông minh sẽ tiếp tục bị đình chỉ. Phân tích của trình duyệt giao dịch Phalcon cho biết Astrid đã bị tấn công do lỗ hổng trong chức năng rút tiền. Các tham số của hàmrút() (tức là địa chỉ mã thông báo và số lượng mã thông báo) có thể được thao tác. Quy trình tấn công cụ thể như sau:
1. Tạo 3 token giả: A, B và C. 2. Sử dụng token giả 1 để rút và nhận stETH. 3. Sử dụng token giả 2 để rút và nhận rETH. 4. Sử dụng token giả 3 để rút và nhận cbETH. 5. Chuyển đổi stETH, rETH, cbETH thành ETH.