انهيار اختراق GMX.
🧵
II. "انتظر ، ماذا حدث؟"
في 9 يوليو ، تم اختراق @GMX_IO V1 على @arbitrum ، وسرقة ~ 40 مليون دولار من تجمع GLP.
أوقفت @GMX_IO التداول بسرعة على V1 وعطلت سك أو استرداد رموز GLP على كل من @arbitrum و @avax لمنع المزيد من الضرر.
تعرض تجمع GLP الخاص ب GMX V1 على Arbitrum لاستغلال. تم تحويل ما يقرب من 40 مليون دولار من الرموز المميزة من مجمع GLP إلى محفظة غير معروفة.
لطالما كان الأمان أولوية أساسية لشركة GMX، حيث تخضع عقود GMX الذكية للعديد من عمليات التدقيق من كبار المتخصصين في الأمن. لذلك ، في هذه اللحظة العملية على سطح السفينة ، يحقق جميع المساهمين الأساسيين في كيفية حدوث التلاعب ، وما هي الثغرة الأمنية التي ربما تكون قد مكنتها.
كما يشارك شركاؤنا الأمنيون بعمق لضمان اكتساب فهم شامل للأحداث التي وقعت وتقليل أي مخاطر مرتبطة بها في أسرع وقت ممكن. ينصب تركيزنا الأساسي على التعافي وتحديد السبب الجذري للمشكلة.
الإجراءات المتخذة:
تم تعطيل التداول على GMX V1 وسك واسترداد GLP على كل من Arbitrum و Avalanche لمنع أي ناقلات هجوم أخرى وحماية المستخدمين من التأثيرات السلبية الإضافية.
نطاق الثغرة الأمنية:
يرجى ملاحظة أن الاستغلال لا يؤثر على GMX V2 أو أسواقها أو مجمعات السيولة ولا على رمز GMX نفسه.
بناء على المعلومات المتوفرة ، تقتصر الثغرة الأمنية على GMX V1 وتجمع GLP الخاص به.
بمجرد أن يكون لدينا معلومات أكثر اكتمالا والتحقق من صحتها ، سيتبع ذلك تقرير مفصل عن الحادث.
IV. باستخدام حارس آلي (روبوت برمجي) ، قام المهاجم بتشغيل الكثير من الأوامر القصيرة أثناء التنفيذ (باستخدام timelock.enableLeverage) لتضخيم سعر GLP ثم صرفها مقابل الأصول الحقيقية.
V. تم إرسال جميع الأصول المسروقة إلى محفظة واحدة (0xDF3340a436c27655bA62F8281565C9925C3a5221).
~ 10 ملايين دولار تم سدها إلى @ethereum واستبدالها ب $ETH و $DAI ؛ بقي الباقي (~ 32 مليون دولار) على @arbitrum في رموز مثل $wBTC و $FRAX و $LINK و $USDC و $USDT.
تم خلط بعض الأموال من خلال @TornadoCash.
VI. "كيف فاتتها عمليات التدقيق؟"
خضعت عقود V1 @GMX_IO لعمليات تدقيق من @Quantstamp و @ABDKconsulting ، إلى جانب مكافآت الأخطاء والمراقبة من @GuardianAudits.
ومع ذلك ، لم تلتقط هذه العيوب المنطقية الخاصة بالبروتوكول التي تنطوي على تحديثات الأسعار في الوقت الفعلي أثناء التداولات القصيرة.
VII. حتى التعليمات البرمجية المدققة يمكن أن تفشل عندما لا يتم اختبار سلوك البروتوكول الدقيق بدقة.
ثامنا: "ماذا فعلت @GMX_IO للتخفيف من الضرر؟"
أوقف جميع عمليات تداول V1 و GLP مؤقتا لمنع المزيد من الاستغلال.
أيضا ، عرضت @GMX_IO مكافأة بنسبة 10٪ (~ 4.2 مليون دولار) للمهاجم لإعادة الأموال على الفور.
ما رأيك ، بويس ، في @GMX_IO الاختراق؟
@splinter0n @0xDefiLeo @the_smart_ape @0xCheeezzyyyy @DOLAK1NG @YashasEdu @0xAndrewMoh @eli5_defi @_SmokinTed @RubiksWeb3hub @kenodnb @lstmaximalist
27.98 ألف
61
المحتوى الوارد في هذه الصفحة مُقدَّم من أطراف ثالثة. وما لم يُذكَر خلاف ذلك، فإن OKX ليست مُؤلِّفة المقالة (المقالات) المذكورة ولا تُطالِب بأي حقوق نشر وتأليف للمواد. المحتوى مٌقدَّم لأغراض إعلامية ولا يُمثِّل آراء OKX، وليس الغرض منه أن يكون تأييدًا من أي نوع، ولا يجب اعتباره مشورة استثمارية أو التماسًا لشراء الأصول الرقمية أو بيعها. إلى الحد الذي يُستخدَم فيه الذكاء الاصطناعي التوليدي لتقديم مُلخصَّات أو معلومات أخرى، قد يكون هذا المحتوى الناتج عن الذكاء الاصطناعي غير دقيق أو غير مُتسِق. من فضلك اقرأ المقالة ذات الصِلة بهذا الشأن لمزيدٍ من التفاصيل والمعلومات. OKX ليست مسؤولة عن المحتوى الوارد في مواقع الأطراف الثالثة. والاحتفاظ بالأصول الرقمية، بما في ذلك العملات المستقرة ورموز NFT، فيه درجة عالية من المخاطر وهو عُرضة للتقلُّب الشديد. وعليك التفكير جيِّدًا فيما إذا كان تداوُل الأصول الرقمية أو الاحتفاظ بها مناسبًا لك في ظل ظروفك المالية.