Gehackter Perp DEX GMX zahlt nach Exploit 44 Millionen US-Dollar an Arbitrum GLP-Inhaber zurück

Cryptonews
Cryptonews
ARB-9,43 %
BTC-0,75 %
ETH-2,42 %
USDC-0,34 %

Die dezentrale Perpetuals-Börse GMX teilte am Mittwoch mit, dass Nutzer, die von der Sicherheitsverletzung im letzten Monat betroffen sind, nun eine Entschädigung über ihre dApp verlangen können.

Wichtige Erkenntnisse:

  • GMX schüttet 44 Mio. $ aus, um die Arbitrum GLP-Inhaber, die von dem 42-Mio. $-Exploit des letzten Monats betroffen sind, vollständig zu entschädigen.
  • Die Sicherheitsverletzung ist auf eine Reentrancy-Schwachstelle in der Vertragsstruktur von GMX V1 zurückzuführen.
  • Die Entschädigung erfolgt in GLV-Token mit zusätzlichen Belohnungen für Benutzer, die sie mindestens drei Monate lang halten.

"Es werden etwa 44 Millionen US-Dollar im Wert ausgeschüttet, was alle betroffenen Arbitrum GLP-Inhaber vollständig macht und eine positive Lösung für die Sicherheitsherausforderung darstellt, mit der GMX konfrontiert war", heißt es in dem Projekt.

Die Auszahlung kombiniert zurückgewonnene Gelder mit 2 Millionen US-Dollar aus der GMX-Kasse.

GMX V1-Exploit verschwindet 42 Millionen US-Dollar über AUM-Manipulations-Schwachstelle

Der Vorfall ereignete sich am 9. Juli, als der GLP-Pool von GMX V1 auf Arbitrum für 42 Millionen US-Dollar ausgenutzt wurde.

Damals führte das Blockchain-Sicherheitsunternehmen PeckShield den Verlust auf eine Reentrancy-Schwachstelle zurück, die es dem Angreifer ermöglichte, die Berechnungen des verwalteten Vermögens (AUM) des Protokolls zu manipulieren, was es ihm ermöglichte, mehr als seine Einlagen abzuheben.

#GMXDeveloper Nachricht pic.twitter.com/miTaxE6OEj

– PeckShieldAlert (@PeckShieldAlert) 9. Juli 2025

GMX bestätigte auch, dass der 42 Millionen US-Dollar schwere Exploit durch eine Re-Antrancy-Schwachstelle in seinen V1-Verträgen verursacht wurde.

Obwohl die betroffene Funktion durch einen NonReentrant-Modifikator geschützt war, galt sie nur innerhalb desselben Vertrags, was es dem Angreifer ermöglichte, diese Schutzmaßnahme zu umgehen und den durchschnittlichen BTC-Short-Preis über den Vault-Vertrag zu manipulieren.

Durch die Ausnutzung dieser Lücke trieb der Angreifer den GLP-Preis künstlich in die Höhe und profitierte davon, indem er aufgeblähte GLP-Token einlöste, nachdem er eine große Position mit einem Flash-Kredit eröffnet hatte.

Die Schwachstelle hing damit zusammen, wie GMX V1 Preisberechnungen über separate Verträge hinweg handhabte, eine Struktur, die in GMX V2 überarbeitet wurde, bei der Berechnungen und Ausführungen nun innerhalb desselben Vertrags erfolgen, um solche Risiken zu vermeiden.

Als Reaktion darauf pausierte GMX den Handel auf Avalanche, setzte sich mit Sicherheitspartnern und großen Infrastrukturanbietern in Verbindung und initiierte eine direkte On-Chain-Kommunikation mit dem Exploiter.

Stunden nach dem Verstoß schickte GMX eine On-Chain-Nachricht, in der ein White-Hat-Prämie von 10 % angeboten wurde, wenn 90 % der gestohlenen Gelder zurückgegeben würden, ein Angebot, das der Angreifer annahm.

Die Vergütung wird in GLV, dem aktualisierten Liquiditäts-Vault-Produkt von GMX für V2, ausgezahlt. Berechtigte Antragsteller erhalten zu gleichen Teilen GLV [BTC-USDC] und GLV [WETH-USDC], was etwa 25 % Bitcoin, 25 % Ether und 50 % Stablecoins widerspiegelt und den ursprünglichen GLP-Asset-Mix widerspiegelt.

Darüber hinaus hat GMX einen GLV-Anreizpool in Höhe von 500.000 US-Dollar für Benutzer eingeführt, die ihren ausgeschütteten GLV mindestens drei Monate lang halten, ohne zu verkaufen oder zu übertragen, und bietet langfristigen Inhabern anteilige Prämien an.

Krypto-Hacks und Betrügereien kosten Investoren im ersten Halbjahr 2025 2,2 Milliarden US-Dollar: CertiK

Krypto-Investoren haben in der ersten Hälfte des Jahres 2025 über 2,2 Milliarden US-Dollar durch Hacks, Betrug und Sicherheitsverletzungen verloren, was laut dem jüngsten Sicherheitsbericht von CertiK hauptsächlich auf Wallet-Kompromittierungen und Phishing-Angriffe zurückzuführen ist.

Allein Wallet-Verstöße verursachten bei nur 34 Vorfällen Verluste in Höhe von 1,7 Milliarden US-Dollar, während Phishing-Betrügereien bei 132 Angriffen über 410 Millionen US-Dollar ausmachten.

Zwei große Vorfälle, darunter der 1,5-Milliarden-Dollar-Hack von Bybit im Februar und der 225-Millionen-Dollar-Exploit von Cetus Protocol im Mai, verzerrten die Verluste des Jahres nach oben und machten zusammen fast 1,78 Milliarden Dollar aus.

Ohne diese liegen die Verluste mit rund 690 Millionen US-Dollar eher auf dem Niveau der Vorjahre.

Ethereum blieb das Hauptziel und erlitt bei 175 Ereignissen Verluste von über 1,6 Milliarden US-Dollar.

Der Bericht wies auch auf die zunehmende Raffinesse von Phishing-Schemata und die anhaltenden Risiken durch Social Engineering hin und forderte Krypto-Nutzer auf, Links zu überprüfen, verdächtige Websites zu meiden und Hardware-Wallets zu verwenden.

Original anzeigen
Quelle besuchen
4.238
0
Der Inhalt dieser Seite wird von Drittparteien bereitgestellt. Sofern nicht anders angegeben, ist OKX nicht der Autor der zitierten Artikel und erhebt keinen Anspruch auf das Urheberrecht an den Materialien. Die Inhalte dienen ausschließlich zu Informationszwecken und spiegeln nicht die Ansichten von OKX wider. Sie stellen keine Form der Empfehlung dar und sind weder als Anlageberatung noch als Aufforderung zum Kauf oder Verkauf digitaler Assets zu verstehen. Soweit generative KI zur Bereitstellung von Zusammenfassungen oder anderen Informationen eingesetzt wird, kann der dadurch erzeugte Inhalt ungenau oder widersprüchlich sein. Mehr Infos findest du im verlinkten Artikel. OKX haftet nicht für Inhalte, die auf Drittpartei-Websites gehostet werden. Digitale Assets, einschließlich Stablecoins und NFT, bergen ein hohes Risiko und können stark schwanken. Du solltest sorgfältig überlegen, ob der Handel mit oder das Halten von digitalen Assets angesichts deiner finanziellen Situation für dich geeignet ist.