Разбор взлома GMX.
🧵
II. "Подождите, что произошло?"
9 июля @GMX_IO V1 на @arbitrum был взломан, и из пула GLP было украдено ~$40M.
@GMX_IO быстро приостановил торговлю на V1 и отключил создание или выкуп токенов GLP как на @arbitrum, так и на @avax, чтобы предотвратить дальнейший ущерб.
Пул GLP GMX V1 на Arbitrum подвергся эксплуатации. Примерно 40 миллионов долларов в токенах было переведено из пула GLP на неизвестный кошелек.
Безопасность всегда была приоритетом для GMX, и смарт-контракты GMX прошли множество аудитов от ведущих специалистов по безопасности. Поэтому в этот критический момент все ключевые участники расследуют, как произошла манипуляция и какая уязвимость могла ее позволить.
Наши партнеры по безопасности также активно участвуют, чтобы обеспечить полное понимание произошедших событий и минимизировать любые связанные риски как можно быстрее. Наше основное внимание сосредоточено на восстановлении и выявлении коренной причины проблемы.
Принятые меры:
Торговля на GMX V1, а также создание и выкуп GLP были отключены как на Arbitrum, так и на Avalanche, чтобы предотвратить любые дальнейшие векторы атак и защитить пользователей от дополнительных негативных последствий.
Объем уязвимости:
Обратите внимание, что эксплуатация не затрагивает GMX V2, его рынки или ликвидные пулы, а также сам токен GMX.
Согласно доступной информации, уязвимость ограничена GMX V1 и его пулом GLP.
Как только у нас будет более полная и проверенная информация, последует подробный отчет о происшествии.
IV. Используя автоматизированного хранителя (программного бота), злоумышленник инициировал множество коротких ордеров во время исполнения (с timelock.enableLeverage), чтобы завысить цену GLP, а затем вывел средства в реальные активы.
V. Все украденные активы были отправлены в один кошелек (0xDF3340a436c27655bA62F8281565C9925C3a5221).
~10 миллионов долларов были переведены на @ethereum и обменяны на $ETH и $DAI; остальная часть (~32 миллиона долларов) осталась на @arbitrum в токенах, таких как $wBTC, $FRAX, $LINK, $USDC и $USDT.
Некоторые средства были смешаны через @TornadoCash.
VI. "Как аудиторы это пропустили?"
Контракты V1 от @GMX_IO прошли аудит от @Quantstamp и @ABDKconsulting, а также имели программы поощрения за нахождение ошибок и мониторинг от @GuardianAudits.
Тем не менее, они не выявили логическую ошибку, специфичную для протокола, связанную с обновлением цен в реальном времени во время коротких сделок.
VII. Даже проверенный код может потерпеть неудачу, если тонкое поведение протокола не было тщательно протестировано.
VIII. "Что @GMX_IO сделала для смягчения ущерба?"
Приостановила все операции с V1 и GLP, чтобы предотвратить дальнейшую эксплуатацию.
Кроме того, @GMX_IO предложила 10% вознаграждение (~$4.2M) злоумышленнику за быстрое возвращение средств.
Что вы, ребята, думаете о взломе @GMX_IO?
@splinter0n @0xDefiLeo @the_smart_ape @0xCheeezzyyyy @DOLAK1NG @YashasEdu @0xAndrewMoh @eli5_defi @_SmokinTed @RubiksWeb3hub @kenodnb @lstmaximalist
27,99 тыс.
61
Содержание этой страницы предоставляется третьими сторонами. OKX не является автором цитируемых статей и не имеет на них авторских прав, если не указано иное. Материалы предоставляются исключительно в информационных целях и не отражают мнения OKX. Материалы не являются инвестиционным советом и призывом к покупке или продаже цифровых активов. Раздел использует ИИ для создания обзоров и кратких содержаний предоставленных материалов. Обратите внимание, что информация, сгенерированная ИИ, может быть неточной и непоследовательной. Для получения полной информации изучите соответствующую оригинальную статью. OKX не несет ответственности за материалы, содержащиеся на сторонних сайтах. Цифровые активы, в том числе стейблкоины и NFT, подвержены высокому риску, а их стоимость может сильно колебаться. Перед торговлей и покупкой цифровых активов оцените ваше финансовое состояние и принимайте только взвешенные решения.