EI hakkereita KYLLÄ-portaali Äskettäin @arbitrum-verkossa hakkeroitiin suuri DeFi-alustan @GMX_IO, mikä johti noin 42 miljoonan dollarin omaisuuden varastamiseen! 😵 @PortaltoBitcoin antaa loistavan erittelyn siitä, miten tämä massiivinen uroteko toteutettiin. Voittaaksesi vihollisen, sinun on ensin ymmärrettävä heidät! Katsotaanpa nopeasti ! 1️⃣ Miten hakkerointi tapahtui? GMX V1:llä on GLP-niminen likviditeettipooli, joka piti käyttäjien tallettamia varoja, kuten ETH:ta, BTC:tä ja USDC:tä. Hakkeri käytti seuraavaa menetelmää ➡️ Paluuhyökkäys Tämä on tekniikka, jossa älysopimustoimintoa kutsutaan toistuvasti ennen saldon päivittämistä, jolloin useat toiminnot voivat livahtaa sisään huomaamatta. Tämän avulla hyökkääjä löi valtavan määrän väärennettyjä GLP-tokeneita (periaatteessa kuin rajattomasti väärennettyjen kuponkien tulostamista) Nämä väärennetyt tokenit vaihdettiin sitten reaaliomaisuuteen (ETH, BTC, USDC) ja nostettiin pois. 🫣 Lopuksi varastetut varat silloitettiin muihin verkkoihin, kuten Ethereumin pääverkkoon. Tässä on EAYY sanoa He tulostivat väärennettyjä kuitteja, vaihtoivat ne oikeaan rahaan ja katosivat. 2️⃣ Miksi tämä hyökkäys onnistui? GMX V1 rakennettiin tyypillisellä DeFi-arkkitehtuurilla Jaettu likviditeettipooli: Kaikki käyttäjän varat tallennetaan yhteen sopimukseen. Mint/Burn LP -tokenit: Käytetään likviditeetin tarjoamisen seurantaan. Monimutkainen ketjun sisäinen logiikka: Käsittelee saldoja, vaihtosopimuksia, likvidaatiota ja paljon muuta samassa sopimuksessa. Tämä tiiviisti kytketty rakenne jättää sen alttiiksi uudelleentulohyökkäyksille, joissa hakkeri voi livahtaa toistuviin puheluihin ennen kuin järjestelmän päivitykset tasapainottuvat. Vaikka GMX kävi läpi useita tarkastuksia, Suunnittelutason riskit, kuten yhdistetyt varat + monimutkainen logiikka + uudelleentulohaavoittuvuus, säilyivät edelleen Vaikka auditoinnit voivat vähentää virheitä, ne eivät voi poistaa rakenteellisia heikkouksia, ja se johti tähän katastrofiin. 🥲 3️⃣ Miten tämä olisi voitu estää? Vastaus piilee siinä, mitä @PortaltoBitcoin rakentaa Atomic Swapit Näin Atomic Swapit eroavat toisistaan: ❌ Ei likviditeettipooleja. ✅ Varat pysyvät lompakossasi. ✅ Vaihto suoritetaan vain, jos kaikki ehdot täyttyvät. ✅ Jos jokin epäonnistuu, rahasi palautuvat automaattisesti. ✅ Sopimuksella ei tarvitse säilyttää varoja tai päivittää tilaa Näillä asetuksilla 1⃣Ei ole holvia, jota voi ryöstää 2⃣Väärennettyjä tokeneita ei voi lyödä 3⃣Ja paluuhyökkäykset muuttuvat mahdottomiksi Se on periaatteessa paras suoja hakkereita vastaan! DeFi-hakkerointien lisääntyessä monet projektit ovat nyt siirtymässä kohti tällaista arkkitehtuuria: Atomivaihdot, käyttäjäomaisuuden itsesäilytys ja uudelleenpääsynkestävät mallit Siksi tulevaisuus näyttää niin valoisalta @PortaltoBitcoin