Hakkeroitu Perp DEX GMX maksaa takaisin 44 miljoonaa dollaria Arbitrum GLP:n haltijoille hyväksikäytön jälkeen

Hajautettu ikuinen pörssi GMX sanoi keskiviikkona, että viime kuun tietoturvaloukkauksen kohteeksi joutuneet käyttäjät voivat nyt vaatia korvausta dAppin kautta.

"Noin 44 miljoonan dollarin arvosta jaetaan, mikä tekee kaikista Arbitrum GLP:n haltijoista ehjiä ja merkitsee suotuisaa ratkaisua GMX:n kohtaamaan turvallisuushaasteeseen", hankkeessa sanottiin.

Maksu yhdistää takaisin saadut varat 2 miljoonaan dollariin GMX:n kassasta.

GMX V1 Exploit vie 42 miljoonaa dollaria AUM-manipulointihaavoittuvuuden

Tapaus sattui 9. heinäkuuta, kun GMX V1:n GLP-poolia Arbitrumissa hyödynnettiin 42 miljoonalla dollarilla.

Tuolloin lohkoketjun tietoturvayritys PeckShield katsoi menetyksen johtuvan paluuhaavoittuvuudesta, jonka avulla hyökkääjä pystyi manipuloimaan protokollan hallinnoitavien varojen (AUM) laskelmia, jolloin he voivat nostaa enemmän kuin talletuksensa.

GMX vahvisti myös, että 42 miljoonan dollarin hyväksikäyttö johtui sen V1-sopimusten uudelleentulohaavoittuvuudesta.

Vaikka kyseinen toiminto oli suojattu ei-Reentrant-modifikaattorilla, se koski vain samaa sopimusta, jolloin hyökkääjä voi ohittaa tämän suojauksen ja manipuloida BTC:n keskimääräistä lyhythintaa Holvisopimuksen kautta.

Hyödyntämällä tätä porsaanreikää hyökkääjä nosti keinotekoisesti GLP:n hintaa ja hyötyi lunastamalla paisuneita GLP-tokeneita avattuaan suuren position pikalainalla.

Haavoittuvuus liittyi siihen, miten GMX V1 käsitteli hinnoittelulaskelmia erillisissä sopimuksissa, rakennetta, jota on tarkistettu GMX V2:ssa, jossa laskelmat ja toteutukset tapahtuvat nyt saman sopimuksen sisällä tällaisten riskien välttämiseksi.

Vastauksena GMX keskeytti kaupankäynnin Avalanchessa, otti yhteyttä tietoturvakumppaneihin ja suuriin infrastruktuurin tarjoajiin ja aloitti suoran ketjun sisäisen viestinnän hyväksikäyttäjän kanssa.

Tunteja tietomurron jälkeen GMX lähetti ketjussa viestin, jossa tarjottiin 10 prosentin valkohattupalkkiota, jos 90 prosenttia varastetuista varoista palautetaan.

Korvaus myönnetään GLV:ssä, GMX:n päivitetyssä likviditeettiholvituotteessa V2:lle. Tukikelpoiset hakijat saavat yhtä suuret annokset GLV:stä [BTC-USDC] ja GLV:stä [WETH-USDC], mikä vastaa noin 25 % Bitcoinia, 25 % Etheriä ja 50 % stablecoineja, mikä heijastaa alkuperäistä GLP-omaisuusyhdistelmää.

Lisäksi GMX on lanseerannut 500 000 dollarin GLV-kannustinpoolin käyttäjille, jotka pitävät jakamaansa GLV:tä vähintään kolme kuukautta myymättä tai siirtämättä, tarjoten suhteellisia palkkioita pitkäaikaisille haltijoille.

Kryptohakkeroinnit, huijaukset maksavat sijoittajille 2,2 miljardia dollaria vuoden 2025 ensimmäisellä puoliskolla: CertiK

Kryptosijoittajat menettivät yli 2,2 miljardia dollaria hakkeroinnille, huijauksille ja tietomurroille vuoden 2025 ensimmäisellä puoliskolla, mikä johtui suurelta osin lompakon vaarantumisesta ja tietojenkalasteluhyökkäyksistä, CertiK:n viimeisimmän tietoturvaraportin mukaan.

Pelkästään lompakkomurrot aiheuttivat 1,7 miljardin dollarin tappiot vain 34 tapauksessa, kun taas tietojenkalasteluhuijausten osuus oli yli 410 miljoonaa dollaria 132 hyökkäyksessä.

Kaksi suurta tapausta, mukaan lukien Bybitin 1,5 miljardin dollarin hakkerointi helmikuussa ja Cetus Protocolin 225 miljoonan dollarin hyväksikäyttö toukokuussa, vääristävät vuoden tappioita ylöspäin, yhteensä lähes 1,78 miljardia dollaria.

Ilman näitä tappiot ovat lähempänä aiempia vuosia, noin 690 miljoonaa dollaria.

Ethereum pysyi ensisijaisena kohteena, ja se kärsi yli 1,6 miljardin dollarin tappiot 175 tapahtumassa.

Raportti viittasi myös tietojenkalastelujärjestelmien kehittymiseen ja sosiaalisen manipuloinnin jatkuviin riskeihin, ja kehotti kryptokäyttäjiä tarkistamaan linkit, välttämään epäilyttäviä sivustoja ja käyttämään laitteistolompakoita.