Rincian peretasan GMX.
🧵
II. "Tunggu, apa yang terjadi?"
Pada tanggal 9 Juli, @GMX_IO V1 di @arbitrum diretas, dan ~$40 juta dicuri dari kumpulan GLP.
@GMX_IO dengan cepat menghentikan perdagangan di V1 dan menonaktifkan pencetakan atau penebusan token GLP di @arbitrum dan @avax untuk mencegah kerusakan lebih lanjut.
Kumpulan GLP GMX V1 di Arbitrum telah mengalami eksploitasi. Sekitar $40 juta dalam token telah ditransfer dari kumpulan GLP ke dompet yang tidak dikenal.
Keamanan selalu menjadi prioritas inti bagi GMX, dengan kontrak pintar GMX menjalani banyak audit dari spesialis keamanan terkemuka. Jadi, dalam momen langsung ini, semua kontributor inti sedang menyelidiki bagaimana manipulasi terjadi, dan kerentanan apa yang mungkin memungkinkannya.
Mitra keamanan kami juga sangat terlibat, untuk memastikan kami mendapatkan pemahaman menyeluruh tentang peristiwa yang terjadi dan meminimalkan risiko terkait secepat mungkin. Fokus utama kami adalah pada pemulihan dan menentukan akar penyebab masalah.
Tindakan yang diambil:
Perdagangan di GMX V1, dan pencetakan dan penebusan GLP, telah dinonaktifkan di Arbitrum dan Avalanche untuk mencegah vektor serangan lebih lanjut dan melindungi pengguna dari dampak negatif tambahan.
Cakupan kerentanan:
Harap dicatat bahwa eksploitasi tidak memengaruhi GMX V2, pasarnya, atau kumpulan likuiditasnya, atau token GMX itu sendiri.
Berdasarkan informasi yang tersedia, kerentanan terbatas pada GMX V1 dan kumpulan GLP-nya.
Segera setelah kami memiliki informasi yang lebih lengkap dan tervalidasi, laporan insiden terperinci akan menyusul.
IV. Menggunakan penjaga otomatis (bot perangkat lunak), penyerang memicu banyak pesanan pendek selama eksekusi (dengan timelock.enableLeverage) untuk menggelembungkan harga GLP dan kemudian mencairkan untuk aset nyata.
V. Semua aset yang dicuri dikirim ke satu dompet (0xDF3340a436c27655bA62F8281565C9925C3a5221).
~$10 juta dijembatani ke @ethereum dan ditukar dengan $ETH dan $DAI; sisanya (~$32 juta) tetap berada di @arbitrum dalam token seperti $wBTC, $FRAX, $LINK, $USDC, dan $USDT.
Beberapa dana dicampur melalui @TornadoCash.
VI. "Bagaimana audit melewatkannya?"
@GMX_IO kontrak V1 telah menjalani audit dari @Quantstamp dan @ABDKconsulting, bersama dengan hadiah bug dan pemantauan dari @GuardianAudits.
Namun ini tidak menangkap kelemahan logika khusus protokol yang melibatkan pembaruan harga real-time selama perdagangan pendek.
VII. Bahkan kode yang diaudit dapat gagal ketika perilaku protokol halus tidak diuji secara menyeluruh.
VIII. "Apa yang @GMX_IO lakukan untuk mengurangi kerusakan?"
Menjeda semua perdagangan V1 dan operasi GLP untuk mencegah eksploitasi lebih lanjut.
Selain itu, @GMX_IO menawarkan hadiah 10% (~$4,2 juta) kepada penyerang karena mengembalikan dana dengan segera.
Apa pendapat Anda, bois, tentang peretasan @GMX_IO?
@splinter0n @0xDefiLeo @the_smart_ape @0xCheeezzyyyy @DOLAK1NG @YashasEdu @0xAndrewMoh @eli5_defi @_SmokinTed @RubiksWeb3hub @kenodnb @lstmaximalist
27,97 rb
61
Konten pada halaman ini disediakan oleh pihak ketiga. Kecuali dinyatakan lain, OKX bukanlah penulis artikel yang dikutip dan tidak mengklaim hak cipta atas materi tersebut. Konten ini disediakan hanya untuk tujuan informasi dan tidak mewakili pandangan OKX. Konten ini tidak dimaksudkan sebagai dukungan dalam bentuk apa pun dan tidak dapat dianggap sebagai nasihat investasi atau ajakan untuk membeli atau menjual aset digital. Sejauh AI generatif digunakan untuk menyediakan ringkasan atau informasi lainnya, konten yang dihasilkan AI mungkin tidak akurat atau tidak konsisten. Silakan baca artikel yang terkait untuk informasi lebih lanjut. OKX tidak bertanggung jawab atas konten yang dihosting di situs pihak ketiga. Kepemilikan aset digital, termasuk stablecoin dan NFT, melibatkan risiko tinggi dan dapat berfluktuasi secara signifikan. Anda perlu mempertimbangkan dengan hati-hati apakah trading atau menyimpan aset digital sesuai untuk Anda dengan mempertimbangkan kondisi keuangan Anda.