Desglose del hackeo de GMX. ... | defizard OKX Feed

Desglose del hackeo de GMX. 🧵

II. "Espera, ¿qué pasó?" El 9 de julio, @GMX_IO V1 en @arbitrum fue hackeado, y se robaron ~$40M del fondo GLP. @GMX_IO detuvo rápidamente el comercio en V1 y deshabilitó la acuñación o el canje de tokens GLP tanto en @arbitrum como en @avax para prevenir más daños.

El pool GLP de GMX V1 en Arbitrum ha sufrido un exploit. Aproximadamente $40M en tokens han sido transferidos del pool GLP a una billetera desconocida. La seguridad siempre ha sido una prioridad fundamental para GMX, con los contratos inteligentes de GMX sometidos a numerosas auditorías por parte de los mejores especialistas en seguridad. Así que, en este momento crítico, todos los colaboradores clave están investigando cómo ocurrió la manipulación y qué vulnerabilidad pudo haberla habilitado. Nuestros socios de seguridad también están profundamente involucrados, para asegurarnos de obtener una comprensión completa de los eventos que ocurrieron y minimizar cualquier riesgo asociado lo más rápido posible. Nuestro enfoque principal es la recuperación y la identificación de la causa raíz del problema. Acciones tomadas: El comercio en GMX V1, así como la acuñación y el canje de GLP, han sido deshabilitados tanto en Arbitrum como en Avalanche para prevenir cualquier vector de ataque adicional y proteger a los usuarios de impactos negativos adicionales. Alcance de la vulnerabilidad: Tenga en cuenta que el exploit no afecta a GMX V2, sus mercados o pools de liquidez, ni al token GMX en sí. Según la información disponible, la vulnerabilidad está limitada a GMX V1 y su pool GLP. Tan pronto como tengamos información más completa y validada, se seguirá un informe detallado del incidente.

IV. Usando un guardián automatizado (bot de software), el atacante activó muchas órdenes cortas durante la ejecución (con timelock.enableLeverage) para inflar el precio de GLP y luego retiró activos reales.

V. Todos los activos robados fueron enviados a una única billetera (0xDF3340a436c27655bA62F8281565C9925C3a5221). Se puentearon ~$10M a @ethereum y se intercambiaron por $ETH y $DAI; el resto (~$32M) permaneció en @arbitrum en tokens como $wBTC, $FRAX, $LINK, $USDC y $USDT. Algunos de los fondos fueron mezclados a través de @TornadoCash.

VI. "¿Cómo se les escapó a las auditorías?" Los contratos V1 de @GMX_IO habían sido auditados por @Quantstamp y @ABDKconsulting, junto con recompensas por errores y monitoreo de @GuardianAudits. Sin embargo, estos no detectaron el fallo lógico específico del protocolo relacionado con las actualizaciones de precios en tiempo real durante las operaciones cortas.

VII. Incluso el código auditado puede fallar cuando el comportamiento sutil del protocolo no se prueba a fondo.

VIII. "¿Qué hizo @GMX_IO para mitigar el daño?" Detuvo todas las operaciones de trading V1 y GLP para prevenir más explotaciones. Además, @GMX_IO ofreció una recompensa del 10% (~$4.2M) al atacante por devolver los fondos de manera rápida.

¿Qué piensan ustedes, chicos, del hack de @GMX_IO? @splinter0n @0xDefiLeo @the_smart_ape @0xCheeezzyyyy @DOLAK1NG @YashasEdu @0xAndrewMoh @eli5_defi @_SmokinTed @RubiksWeb3hub @kenodnb @lstmaximalist