Analiza hacku GMX. 🧵
II. "Czekaj, co się stało?" 9 lipca, @GMX_IO V1 na @arbitrum został zhakowany, a z puli GLP skradziono ~$40M. @GMX_IO szybko wstrzymał handel na V1 i wyłączył mintowanie oraz wykupywanie tokenów GLP zarówno na @arbitrum, jak i @avax, aby zapobiec dalszym szkodom.
Pula GLP GMX V1 na Arbitrum doświadczyła exploita. Około 40 milionów dolarów w tokenach zostało przetransferowanych z puli GLP do nieznanego portfela. Bezpieczeństwo zawsze było kluczowym priorytetem dla GMX, a smart kontrakty GMX przeszły liczne audyty przeprowadzone przez najlepszych specjalistów ds. bezpieczeństwa. W tej chwili, w momencie kryzysowym, wszyscy kluczowi współpracownicy badają, jak doszło do manipulacji oraz jaka podatność mogła to umożliwić. Nasi partnerzy ds. bezpieczeństwa są również głęboko zaangażowani, aby zapewnić, że uzyskamy dokładne zrozumienie wydarzeń, które miały miejsce, i zminimalizujemy wszelkie związane z tym ryzyka tak szybko, jak to możliwe. Naszym głównym celem jest odzyskanie i zidentyfikowanie przyczyny problemu. Podjęte działania: Handel na GMX V1 oraz mintowanie i redeemowanie GLP zostały wyłączone zarówno na Arbitrum, jak i Avalanche, aby zapobiec dalszym wektorem ataku i chronić użytkowników przed dodatkowymi negatywnymi skutkami. Zakres podatności: Proszę zauważyć, że exploit nie wpływa na GMX V2, jego rynki ani pule płynności, ani na sam token GMX. Na podstawie dostępnych informacji, podatność jest ograniczona do GMX V1 i jego puli GLP. Gdy tylko będziemy mieli bardziej kompletną i zweryfikowaną informację, zostanie opublikowany szczegółowy raport o incydencie.
IV. Używając zautomatyzowanego keepera (bota programowego), atakujący uruchomił wiele krótkich zleceń podczas realizacji (z timelock.enableLeverage), aby napompować cenę GLP, a następnie wypłacił prawdziwe aktywa.
V. Wszystkie skradzione aktywa zostały wysłane do jednego portfela (0xDF3340a436c27655bA62F8281565C9925C3a5221). ~10 mln $ zostało przeniesione do @ethereum i wymienione na $ETH i $DAI; reszta (~32 mln $) pozostała na @arbitrum w tokenach takich jak $wBTC, $FRAX, $LINK, $USDC i $USDT. Część funduszy została wymieszana przez @TornadoCash.
portfel napastnika: 0xDF3340a436c27655bA62F8281565C9925C3a5221 sfinansowali go dwa dni wcześniej za pośrednictwem Tornado Cash, przetransferowali USDC > ETH i przygotowali atak. po eksploatacji zaczęli prać pieniądze w różnych sieciach - dzieląc, wymieniając i zaciemniając ślady. 5/
VI. "Jak audyty to przeoczyły?" Umowy V1 @GMX_IO przeszły audyty od @Quantstamp i @ABDKconsulting, a także programy nagród za błędy i monitoring od @GuardianAudits. Jednak te nie wychwyciły specyficznej dla protokołu luki logicznej związanej z aktualizacjami cen w czasie rzeczywistym podczas krótkich transakcji.
VII. Nawet audytowany kod może zawieść, gdy subtelne zachowanie protokołu nie jest dokładnie testowane.
VIII. "Co @GMX_IO zrobiło, aby złagodzić szkody?" Wstrzymano wszystkie operacje handlowe V1 i GLP, aby zapobiec dalszemu wykorzystaniu. Ponadto @GMX_IO zaoferowało 10% nagrody (~4,2 mln USD) napastnikowi za szybkie zwrócenie funduszy.
Co myślicie, chłopaki, o hacku @GMX_IO? @splinter0n @0xDefiLeo @the_smart_ape @0xCheeezzyyyy @DOLAK1NG @YashasEdu @0xAndrewMoh @eli5_defi @_SmokinTed @RubiksWeb3hub @kenodnb @lstmaximalist
Pokaż oryginał
27,99 tys.
61
Treści na tej stronie są dostarczane przez strony trzecie. O ile nie zaznaczono inaczej, OKX nie jest autorem cytowanych artykułów i nie rości sobie żadnych praw autorskich do tych materiałów. Treść jest dostarczana wyłącznie w celach informacyjnych i nie reprezentuje poglądów OKX. Nie mają one na celu jakiejkolwiek rekomendacji i nie powinny być traktowane jako porada inwestycyjna lub zachęta do zakupu lub sprzedaży aktywów cyfrowych. Treści, w zakresie w jakim jest wykorzystywana generatywna sztuczna inteligencja do dostarczania podsumowań lub innych informacji, mogą być niedokładne lub niespójne. Przeczytaj podlinkowany artykuł, aby uzyskać więcej szczegółów i informacji. OKX nie ponosi odpowiedzialności za treści hostowane na stronach osób trzecich. Posiadanie aktywów cyfrowych, w tym stablecoinów i NFT, wiąże się z wysokim stopniem ryzyka i może podlegać znacznym wahaniom. Musisz dokładnie rozważyć, czy handel lub posiadanie aktywów cyfrowych jest dla Ciebie odpowiednie w świetle Twojej sytuacji finansowej.