Desglose del hackeo de GMX. ... | defizard OKX Feed

Desglose del hackeo de GMX. 🧵

II. "Espera, ¿qué pasó?" El 9 de julio, @GMX_IO V1 en el @arbitrum fue hackeado y ~ $ 40 millones fueron robados del grupo GLP. @GMX_IO detuvo rápidamente el comercio en V1 y deshabilitó la acuñación o el canje de tokens GLP tanto en @arbitrum como en @avax para evitar daños mayores.

El grupo GLP de GMX V1 en Arbitrum ha experimentado un exploit. Se han transferido aproximadamente 40 millones de dólares en tokens del grupo GLP a una billetera desconocida. La seguridad siempre ha sido una prioridad fundamental para GMX, y los contratos inteligentes de GMX se han sometido a numerosas auditorías por parte de los principales especialistas en seguridad. Por lo tanto, en este momento de manos a la obra, todos los colaboradores principales están investigando cómo se produjo la manipulación y qué vulnerabilidad puede haberla permitido. Nuestros socios de seguridad también están profundamente involucrados, para garantizar que obtengamos una comprensión profunda de los eventos que ocurrieron y minimicemos los riesgos asociados lo más rápido posible. Nuestro objetivo principal es la recuperación y la identificación de la causa raíz del problema. Medidas adoptadas: El trading en GMX V1, así como la acuñación y el canje de GLP, se han desactivado tanto en Arbitrum como en Avalanche para evitar más vectores de ataque y proteger a los usuarios de impactos negativos adicionales. Alcance de la vulnerabilidad: Tenga en cuenta que el exploit no afecta a GMX V2, sus mercados o pools de liquidez, ni al token GMX en sí. Según la información disponible, la vulnerabilidad se limita a GMX V1 y su grupo de GLP. Tan pronto como tengamos información más completa y validada, se emitirá un informe detallado de la incidencia.

IV. Usando un guardián automatizado (bot de software), el atacante activó muchas órdenes cortas durante la ejecución (con timelock.enableLeverage) para inflar el precio de GLP y luego cobró por activos reales.

V. Todos los activos robados se enviaron a una sola billetera (0xDF3340a436c27655bA62F8281565C9925C3a5221). ~$10M fueron puenteados a @ethereum y cambiados por $ETH y $DAI; el resto (~32 millones de dólares) se quedó en @arbitrum en tokens como $wBTC, $FRAX, $LINK, $USDC y $USDT. Algunos de los fondos se mezclaron a través de @TornadoCash.

VI. "¿Cómo es que las auditorías lo fallaron?" @GMX_IO contratos de V1 habían sido sometidos a auditorías de @Quantstamp y @ABDKconsulting, junto con recompensas por errores y monitoreo de @GuardianAudits. Sin embargo, estos no detectaron la falla lógica específica del protocolo que involucra las actualizaciones de precios en tiempo real durante las operaciones cortas.

VII. Incluso el código auditado puede fallar cuando el comportamiento sutil del protocolo no se prueba a fondo.

VIII. "¿Qué @GMX_IO hizo para mitigar el daño?" Se han pausado todas las operaciones comerciales y GLP de V1 para evitar una mayor explotación. Además, @GMX_IO ofreció una recompensa del 10% (~4,2 millones de dólares) al atacante por devolver los fondos con prontitud.

¿Qué opinan ustedes, bois, de @GMX_IO hack? @splinter0n @0xDefiLeo @the_smart_ape @0xCheeezzyyyy @DOLAK1NG @YashasEdu @0xAndrewMoh @eli5_defi @_SmokinTed @RubiksWeb3hub @kenodnb @lstmaximalist