Analisi dell'hack di GMX.
🧵
II. "Aspetta, cosa è successo?"
Il 9 luglio, @GMX_IO V1 su @arbitrum è stato hackerato, e sono stati rubati ~$40M dal pool GLP.
@GMX_IO ha rapidamente sospeso il trading su V1 e disabilitato la creazione o il riscatto dei token GLP sia su @arbitrum che su @avax per prevenire ulteriori danni.
Il pool GLP di GMX V1 su Arbitrum ha subito un exploit. Circa 40 milioni di dollari in token sono stati trasferiti dal pool GLP a un wallet sconosciuto.
La sicurezza è sempre stata una priorità fondamentale per GMX, con i contratti smart di GMX sottoposti a numerosi audit da parte dei migliori specialisti della sicurezza. Quindi, in questo momento di emergenza, tutti i contributori principali stanno indagando su come sia avvenuta la manipolazione e quale vulnerabilità possa averla abilitata.
I nostri partner di sicurezza sono anche profondamente coinvolti, per garantire che otteniamo una comprensione approfondita degli eventi che si sono verificati e minimizzare i rischi associati il più rapidamente possibile. Il nostro obiettivo principale è il recupero e l'individuazione della causa principale del problema.
Azioni intraprese:
Il trading su GMX V1 e la creazione e il riscatto di GLP sono stati disabilitati sia su Arbitrum che su Avalanche per prevenire ulteriori vettori di attacco e proteggere gli utenti da ulteriori impatti negativi.
Ambito della vulnerabilità:
Si prega di notare che l'exploit non influisce su GMX V2, i suoi mercati o pool di liquidità, né sul token GMX stesso.
In base alle informazioni disponibili, la vulnerabilità è limitata a GMX V1 e al suo pool GLP.
Non appena avremo informazioni più complete e validate, seguirà un rapporto dettagliato sull'incidente.
IV. Utilizzando un custode automatizzato (bot software), l'attaccante ha attivato molti ordini short durante l'esecuzione (con timelock.enableLeverage) per gonfiare il prezzo del GLP e poi ha incassato per beni reali.
V. Tutti gli asset rubati sono stati inviati a un unico wallet (0xDF3340a436c27655bA62F8281565C9925C3a5221).
~10 milioni di dollari sono stati trasferiti a @ethereum e scambiati per $ETH e $DAI; il resto (~32 milioni di dollari) è rimasto su @arbitrum in token come $wBTC, $FRAX, $LINK, $USDC e $USDT.
Alcuni dei fondi sono stati mescolati tramite @TornadoCash.
il portafoglio dell'attaccante:
0xDF3340a436c27655bA62F8281565C9925C3a5221
lo hanno finanziato due giorni prima tramite Tornado Cash, hanno effettuato il bridging da USDC a ETH e hanno preparato l'attacco.
dopo l'exploit, hanno iniziato a riciclare attraverso le catene - dividendo, scambiando e offuscando le tracce.
5/

VI. "Come hanno fatto gli audit a non accorgersene?"
I contratti V1 di @GMX_IO erano stati sottoposti a audit da parte di @Quantstamp e @ABDKconsulting, insieme a programmi di bug bounty e monitoraggio da parte di @GuardianAudits.
Eppure, questi non hanno rilevato il difetto logico specifico del protocollo riguardante gli aggiornamenti dei prezzi in tempo reale durante le operazioni di vendita allo scoperto.
VII. Anche il codice auditato può fallire quando il comportamento sottile del protocollo non viene testato a fondo.
VIII. "Cosa ha fatto @GMX_IO per mitigare i danni?"
Ha messo in pausa tutte le operazioni di trading V1 e GLP per prevenire ulteriori sfruttamenti.
Inoltre, @GMX_IO ha offerto una ricompensa del 10% (~$4,2M) all'attaccante per restituire i fondi prontamente.
Cosa ne pensate, ragazzi, dell'hack di @GMX_IO?
@splinter0n @0xDefiLeo @the_smart_ape @0xCheeezzyyyy @DOLAK1NG @YashasEdu @0xAndrewMoh @eli5_defi @_SmokinTed @RubiksWeb3hub @kenodnb @lstmaximalist
27.967
61
Il contenuto di questa pagina è fornito da terze parti. Salvo diversa indicazione, OKX non è l'autore degli articoli citati e non rivendica alcun copyright sui materiali. Il contenuto è fornito solo a scopo informativo e non rappresenta le opinioni di OKX. Non intende essere un'approvazione di alcun tipo e non deve essere considerato un consiglio di investimento o una sollecitazione all'acquisto o alla vendita di asset digitali. Nella misura in cui l'IA generativa viene utilizzata per fornire riepiloghi o altre informazioni, tale contenuto generato dall'IA potrebbe essere impreciso o incoerente. Leggi l'articolo collegato per ulteriori dettagli e informazioni. OKX non è responsabile per i contenuti ospitati su siti di terze parti. Gli holding di asset digitali, tra cui stablecoin e NFT, comportano un elevato grado di rischio e possono fluttuare notevolmente. Dovresti valutare attentamente se effettuare il trading o detenere asset digitali è adatto a te alla luce della tua situazione finanziaria.