Rozpad hacku GMX.
🧵
II. "Počkej, co se stalo?"
9. července byl hacknut @GMX_IO V1 na @arbitrum a z fondu GLP bylo ukradeno ~40 milionů dolarů.
@GMX_IO rychle zastavila obchodování na V1 a zakázala ražbu nebo vyplácení GLP tokenů na @arbitrum i @avax, aby zabránila dalším škodám.
Skupina GLP GMX V1 na Arbitrum zaznamenala zneužití. Přibližně $40 milionů v tokenech bylo převedeno z GLP poolu do neznámé peněženky.
Bezpečnost byla pro GMX vždy hlavní prioritou, přičemž chytré kontrakty GMX procházejí četnými audity ze strany špičkových bezpečnostních specialistů. Takže v tomto okamžiku všichni hlavní přispěvatelé vyšetřují, jak k manipulaci došlo a jaká zranitelnost ji mohla umožnit.
Naši bezpečnostní partneři jsou také hluboce zapojeni, aby zajistili, že získáme důkladné pochopení událostí, ke kterým došlo, a co nejrychleji minimalizujeme všechna související rizika. Primárně se zaměřujeme na obnovu a určení hlavní příčiny problému.
Realizované akce:
Obchodování na GMX V1 a ražba a vyplácení GLP byly na Arbitrum i Avalanche zakázány, aby se zabránilo dalším vektorům útoku a chránily uživatele před dalšími negativními dopady.
Rozsah chyby zabezpečení:
Vezměte prosím na vědomí, že zneužití nemá vliv na GMX V2, jeho trhy nebo pooly likvidity, ani na samotný token GMX.
Na základě dostupných informací je tato chyba zabezpečení omezena na GMX V1 a jeho GLP pool.
Jakmile budeme mít úplnější a ověřené informace, bude následovat podrobná zpráva o incidentu.
IV. Pomocí automatizovaného keeperu (softwarového bota) útočník během provádění spustil spoustu krátkých objednávek (s timelock.enableLeverage), aby nafoukl cenu GLP, a poté vyplatil skutečná aktiva.
V. Všechna odcizená aktiva byla odeslána do jedné peněženky (0xDF3340a436c27655bA62F8281565C9925C3a5221).
~ 10 milionů dolarů bylo překlenuto do @ethereum a vyměněno za $ETH a $DAI; zbytek (~32 milionů $) zůstal na @arbitrum v tokenech jako $wBTC, $FRAX, $LINK, $USDC a $USDT.
Některé z fondů byly smíšené v průběhu @TornadoCash.
VI. "Jak to, že to audity přehlédly?"
@GMX_IO kontrakty V1 prošly audity od @Quantstamp a @ABDKconsulting, spolu s odměnami za chyby a monitorováním od @GuardianAudits.
Ty však nezachytily logickou chybu specifickou pro protokol, která zahrnovala aktualizace cen v reálném čase během krátkých obchodů.
VII. Dokonce i auditovaný kód může selhat, pokud není důkladně otestováno jemné chování protokolu.
VIII. "Co @GMX_IO udělal pro zmírnění škod?"
Pozastavil veškeré obchodování V1 a operace GLP, aby se zabránilo dalšímu zneužití.
@GMX_IO také nabídl útočníkovi 10% odměnu (~4,2 milionu USD) za okamžité vrácení finančních prostředků.
Co si myslíte o @GMX_IO hacku?
@splinter0n @0xDefiLeo @the_smart_ape @0xCheeezzyyyy @DOLAK1NG @YashasEdu @0xAndrewMoh @eli5_defi @_SmokinTed @RubiksWeb3hub @kenodnb @lstmaximalist
28,08 tis.
61
Obsah na této stránce poskytují třetí strany. Není-li uvedeno jinak, společnost OKX není autorem těchto informací a nenárokuje si u těchto materiálů žádná autorská práva. Obsah je poskytován pouze pro informativní účely a nevyjadřuje názory společnosti OKX. Nejedná se o doporučení jakéhokoli druhu a nemělo by být považováno za investiční poradenství ani nabádání k nákupu nebo prodeji digitálních aktiv. Tam, kde se k poskytování souhrnů a dalších informací používá generativní AI, může být vygenerovaný obsah nepřesný nebo nekonzistentní. Další podrobnosti a informace naleznete v připojeném článku. Společnost OKX neodpovídá za obsah, jehož hostitelem jsou externí weby. Držená digitální aktiva, včetně stablecoinů a tokenů NFT, zahrnují vysokou míru rizika a mohou značně kolísat. Měli byste pečlivě zvážit, zde je pro vás obchodování s digitálními aktivy nebo jejich držení vhodné z hlediska vaší finanční situace.