Clober DEX Rebalancer-Reentrancy
Reentrancy im Withdraw-Pfad von Clober DEXs Rebalancer auf Base ließ Angreifer vor LP-Settlement re-entrieren – 500K USD an Überschuss entzogen.
- Datum
- Opfer
- Clober DEX
- Chain(s)
- Status
- Teilweise zurückerlangt
Am 10. Dezember 2024 verlor die Order-Book-DEX Clober auf der Base-Chain etwa 500.000 US-Dollar durch eine Reentrancy im Withdraw-Pfad ihres Rebalancer-Vertrags. Der Vertrag führte einen externen Transfer durch, bevor er die LP-Buchhaltung finalisierte, was es dem Angreifer erlaubte, withdraw zu re-entrieren und unverhältnismäßige Liquidität zu extrahieren.
Was geschah
Clobers Rebalancer verwaltete LP-Positionen. Seine withdraw-Funktion sendete Assets, bevor sie die LP-Anteils-Buchhaltung aktualisierte; ein Angreifer-Vertrag re-entrierte withdraw während des Transfers und hob wiederholt gegen veraltete Salden ab, bis die Position entleert war (~500K USD).
Folgen
- Clober pausierte den Rebalancer; teilweise Rückgewinnung über Verhandlung.
- Gepatcht mit Checks-Effects-Interactions-Ordnung und einem Reentrancy-Guard.
Warum es wichtig ist
Clober ist eine Erinnerung aus Ende 2024, dass die Linie Deposit/Withdraw-Reentrancy — The DAO (2016) durch Grim, Penpie und weiter — nicht altert. Neue Chains (Base) und neue Mechanismen (Order-Book-DEX-Rebalancer) erzeugen ständig die Bedingungen für den ältesten Bug, weil die Angriffsfläche dahin wandert, wo der neueste Code ist, und der neueste Code wird von Teams geschrieben, die die Lektion abstrakt kennen, aber im Konkreten wieder einführen. Reentrancy-Guard + CEI auf jedem wertbewegenden Pfad, ohne Ausnahmen, bleibt die Antwort acht Jahre später.
Quellen & On-Chain-Belege
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-clober-dex-hack-december-2024
- [02]certik.comhttps://www.certik.com/resources/blog/clober-dex-incident-analysis
- [03]rekt.newshttps://rekt.news/cloberdex-rekt