Defalcarea hack-ului GMX. 🧵

II. "Stai, ce s-a întâmplat?" Pe 9 iulie, @GMX_IO V1 de pe @arbitrum a fost spart și ~ 40 de milioane de dolari au fost furați din fondul GLP. @GMX_IO oprit rapid tranzacționarea pe V1 și a dezactivat emiterea sau răscumpărarea jetoanelor GLP atât pe @arbitrum, cât și pe @avax pentru a preveni daune suplimentare.

Grupul GLP al GMX V1 de pe Arbitrum a suferit un exploit. Aproximativ 40 de milioane de dolari în jetoane au fost transferate din pool-ul GLP într-un portofel necunoscut. Securitatea a fost întotdeauna o prioritate de bază pentru GMX, contractele inteligente GMX fiind supuse unor numeroase audituri de la specialiști în securitate de top. Deci, în acest moment hands-on-deck, toți contribuitorii de bază investighează cum a avut loc manipularea și ce vulnerabilitate ar fi putut să o permită. Partenerii noștri de securitate sunt, de asemenea, profund implicați, pentru a ne asigura că obținem o înțelegere aprofundată a evenimentelor care au avut loc și minimizăm orice riscuri asociate cât mai repede posibil. Obiectivul nostru principal este recuperarea și identificarea cauzei principale a problemei. Acțiuni întreprinse: Tranzacționarea pe GMX V1 și emiterea și răscumpărarea GLP au fost dezactivate atât pe Arbitrum, cât și pe Avalanche pentru a preveni orice vectori de atac suplimentari și pentru a proteja utilizatorii de impacturi negative suplimentare. Domeniul de aplicare al vulnerabilității: Vă rugăm să rețineți că exploit-ul nu afectează GMX V2, piețele sau fondurile sale de lichiditate, nici tokenul GMX în sine. Pe baza informațiilor disponibile, vulnerabilitatea este limitată la GMX V1 și la pool-ul său GLP. De îndată ce vom avea informații mai complete și validate, va urma un raport detaliat al incidentului.

IV. Folosind un deținător automat (bot software), atacatorul a declanșat o mulțime de ordine scurte în timpul execuției (cu timelock.enableLeverage) pentru a umfla prețul GLP și apoi a încasat active reale.

V. Toate activele furate au fost trimise într-un singur portofel (0xDF3340a436c27655bA62F8281565C9925C3a5221). ~ 10 milioane de dolari au fost transferați la @ethereum și schimbați pentru $ETH și $DAI; restul (~$32M) au rămas pe @arbitrum în tokenuri precum $wBTC, $FRAX, $LINK, $USDC și $USDT. Unele dintre fonduri au fost amestecate prin @TornadoCash.

VI. "Cum au ratat auditurile?" @GMX_IO contracte V1 au fost supuse auditurilor de la @Quantstamp și @ABDKconsulting, împreună cu recompense pentru erori și monitorizare de la @GuardianAudits. Cu toate acestea, acestea nu au detectat defectul logic specific protocolului care implică actualizări de preț în timp real în timpul tranzacțiilor scurte.

VII. Chiar și codul auditat poate eșua atunci când comportamentul subtil al protocolului nu este testat temeinic.

VIII. "Ce @GMX_IO făcut pentru a atenua daunele?" A întrerupt toate operațiunile de tranzacționare și GLP V1 pentru a preveni exploatarea ulterioară. De asemenea, @GMX_IO oferit o recompensă de 10% (~4,2 milioane USD) atacatorului pentru returnarea rapidă a fondurilor.

Ce părere ai tu, bois, despre @GMX_IO hack? @splinter0n @0xDefiLeo @the_smart_ape @0xCheeezzyyyy @DOLAK1NG @YashasEdu @0xAndrewMoh @eli5_defi @_SmokinTed @RubiksWeb3hub @kenodnb @lstmaximalist