Sammenbrudd av GMX-hacket.
🧵
II. «Vent, hva skjedde?»
9. juli ble @GMX_IO V1 på @arbitrum hacket, og ~40 millioner dollar ble stjålet fra GLP-poolen.
@GMX_IO stoppet raskt handelen på V1 og deaktiverte preging eller innløsning av GLP-tokens på både @arbitrum og @avax for å forhindre ytterligere skade.
GLP-poolen til GMX V1 på Arbitrum har opplevd en utnyttelse. Omtrent 40 millioner dollar i tokens har blitt overført fra GLP-poolen til en ukjent lommebok.
Sikkerhet har alltid vært en kjerneprioritet for GMX, med GMX-smartkontrakter som gjennomgår en rekke revisjoner fra topp sikkerhetsspesialister. Så i dette øyeblikket, undersøker alle kjernebidragsytere hvordan manipulasjonen skjedde, og hvilken sårbarhet som kan ha muliggjort den.
Våre sikkerhetspartnere er også dypt involvert for å sikre at vi får en grundig forståelse av hendelsene som skjedde og minimerer eventuelle tilknyttede risikoer så raskt som mulig. Vårt primære fokus er på gjenoppretting og å finne årsaken til problemet.
Tiltak som er utført:
Handel på GMX V1, og preging og innløsning av GLP, har blitt deaktivert på både Arbitrum og Avalanche for å forhindre ytterligere angrepsvektorer og beskytte brukere mot ytterligere negative påvirkninger.
Omfanget av sikkerhetsproblemet:
Vær oppmerksom på at utnyttelsen ikke påvirker GMX V2, dets markeder eller likviditetspooler, og heller ikke selve GMX-tokenet.
Basert på tilgjengelig informasjon er sårbarheten begrenset til GMX V1 og dets GLP-pool.
Så snart vi har mer fullstendig og validert informasjon, vil en detaljert hendelsesrapport følge.
IV. Ved å bruke en automatisert keeper (programvarebot), utløste angriperen mange korte ordrer under utførelse (med timelock.enableLeverage) for å blåse opp GLP-prisen og deretter utbetalt for reelle eiendeler.
V. Alle stjålne eiendeler ble sendt til en enkelt lommebok (0xDF3340a436c27655bA62F8281565C9925C3a5221).
~10 millioner dollar ble brolagt til @ethereum og byttet mot $ETH og $DAI; resten (~$32 millioner) holdt seg på @arbitrum i tokens som $wBTC, $FRAX, $LINK, $USDC og $USDT.
Noen av midlene ble blandet gjennom @TornadoCash.
VI. «Hvordan gikk revisjonene glipp av det?»
@GMX_IO V1-kontraktene hadde gjennomgått revisjoner fra @Quantstamp og @ABDKconsulting, sammen med bug bounties og overvåking fra @GuardianAudits.
Likevel fanget ikke disse opp den protokollspesifikke logikkfeilen som involverte prisoppdateringer i sanntid under korte handler.
VII. Selv revidert kode kan mislykkes når subtil protokollatferd ikke testes grundig.
VIII. «Hva @GMX_IO gjort for å redusere skaden?»
Satte all V1-handel og GLP-operasjoner på pause for å forhindre ytterligere utnyttelse.
@GMX_IO tilbød også en dusør på 10 % (~4,2 millioner dollar) til angriperen for å returnere midlene umiddelbart.
Hva synes du, bois, om @GMX_IO hack?
@splinter0n @0xDefiLeo @the_smart_ape @0xCheeezzyyyy @DOLAK1NG @YashasEdu @0xAndrewMoh @eli5_defi @_SmokinTed @RubiksWeb3hub @kenodnb @lstmaximalist
27,95k
61
Innholdet på denne siden er levert av tredjeparter. Med mindre annet er oppgitt, er ikke OKX forfatteren av de siterte artikkelen(e) og krever ingen opphavsrett til materialet. Innholdet er kun gitt for informasjonsformål og representerer ikke synspunktene til OKX. Det er ikke ment å være en anbefaling av noe slag og bør ikke betraktes som investeringsråd eller en oppfordring om å kjøpe eller selge digitale aktiva. I den grad generativ AI brukes til å gi sammendrag eller annen informasjon, kan slikt AI-generert innhold være unøyaktig eller inkonsekvent. Vennligst les den koblede artikkelen for mer detaljer og informasjon. OKX er ikke ansvarlig for innhold som er vert på tredjeparts nettsteder. Beholdning av digitale aktiva, inkludert stablecoins og NFT-er, innebærer en høy grad av risiko og kan svinge mye. Du bør nøye vurdere om handel eller innehav av digitale aktiva passer for deg i lys av din økonomiske tilstand.