NO Hacker YES Portal Recentemente, una grande piattaforma DeFi @GMX_IO è stata hackerata sulla rete @arbitrum, con un furto di circa 42 milioni di dollari in asset! 😵 @PortaltoBitcoin fornisce un'ottima analisi di come sia stato portato a termine questo enorme exploit. Per battere il nemico, devi prima comprenderlo! Diamo un'occhiata veloce! 1️⃣ Come è avvenuto l'hack? GMX V1 ha un pool di liquidità chiamato GLP, che conteneva asset come ETH, BTC e USDC depositati dagli utenti. L'hacker ha utilizzato il seguente metodo ➡️ Attacco di ri-entrata Questa è una tecnica in cui una funzione di smart contract viene chiamata ripetutamente prima che il saldo venga aggiornato, consentendo a più operazioni di infiltrarsi senza essere rilevate. Utilizzando questo, l'attaccante ha coniato una grande quantità di token GLP falsi (praticamente come stampare voucher contraffatti illimitati) Questi token falsi sono stati poi scambiati per asset reali (ETH, BTC, USDC) e ritirati. 🫣 Infine, i fondi rubati sono stati trasferiti su altre reti come la mainnet di Ethereum. È facile dirlo Hanno stampato ricevute false, le hanno scambiate per denaro reale e sono svaniti. 2️⃣ Perché questo attacco è stato così efficace? GMX V1 è stato costruito utilizzando un'architettura DeFi tipica Pool di liquidità condivisi: Tutti gli asset degli utenti sono conservati in un unico contratto. Mint/Burn LP tokens: Utilizzati per tracciare la fornitura di liquidità. Logica on-chain complessa: Gestisce saldi, scambi, liquidazioni e altro all'interno dello stesso contratto. Questo design strettamente accoppiato lo rende vulnerabile agli attacchi di ri-entrata, dove un hacker può infiltrarsi con chiamate ripetute prima che il sistema aggiorni i saldi. Anche se GMX ha subito più audit, rischi a livello di design come fondi accorpati + logica complessa + vulnerabilità di ri-entrata sono rimasti Quindi, mentre gli audit possono ridurre i bug, non possono eliminare le debolezze strutturali e questo è ciò che ha portato a questo disastro. 🥲 3️⃣ Come si sarebbe potuto prevenire? La risposta risiede in ciò che @PortaltoBitcoin sta costruendo Atomic Swaps Ecco come differiscono gli Atomic Swaps: ❌ Nessun pool di liquidità. ✅ Gli asset rimangono nel tuo wallet. ✅ Lo scambio viene eseguito solo se tutte le condizioni sono soddisfatte. ✅ Se qualcosa fallisce, i tuoi fondi tornano automaticamente. ✅ Nessun contratto deve detenere fondi o aggiornare lo stato Con queste configurazioni 1⃣Non c'è una cassaforte da derubare 2⃣Non possono essere coniati token falsi 3⃣E gli attacchi di ri-entrata diventano impossibili È fondamentalmente lo scudo definitivo contro gli hacker! Con gli hack DeFi in aumento, molti progetti si stanno ora orientando verso questo tipo di architettura: Atomic swaps, custodia autonoma degli asset degli utenti e design a prova di ri-entrata Ecco perché il futuro appare così luminoso per @PortaltoBitcoin