以太坊再质押池 Astrid 遭攻击，已暂停智能合约并补偿用户损失

ChainCatcher 消息，以太坊流动性再质押池 Astrid 发文表示，其智能合约遭攻击。Astrid 已经暂停合约，已对所有持有者进行快照，并将提供全额补偿。

此后 Astrid 发布存款用户和流动性提供者补偿统计表格（不包括内部团队的内部存款）。流动性提供者将以质押ETH代币的形式获得补偿。Astrid 之后更新表示，已补偿所有用户损失，智能合约将继续暂停。交易浏览器 Phalcon 分析表示，Astrid 由于提现功能存在缺陷而遭受攻击。withdraw()函数的参数（即代币地址和代币数量）可被操控。具体攻击流程如下：

1. 创建 3 个假代币：A、B和C。
2. 使用假代币 1 提现并领取 stETH。
3. 使用假代币 2 提现并领取 rETH。
4. 使用假代币 3 提现并领取 cbETH。
5. 将 stETH、rETH、cbETH 转换为 ETH。