Uiteenzetting van de GMX-hack.... | defizard OKX Feed

Uiteenzetting van de GMX-hack. 🧵

II. "Wacht, wat is er gebeurd?" Op 9 juli werd @GMX_IO V1 op de @arbitrum gehackt, en werd er ~$40M gestolen uit de GLP-pool. @GMX_IO stopte snel de handel op V1 en schakelde het minten of inwisselen van GLP-tokens op zowel @arbitrum als @avax uit om verdere schade te voorkomen.

De GLP-pool van GMX V1 op Arbitrum heeft een exploit ondergaan. Ongeveer $40M aan tokens is overgedragen van de GLP-pool naar een onbekende wallet. Beveiliging is altijd een kernprioriteit geweest voor GMX, waarbij de GMX-smart contracts talrijke audits hebben ondergaan van topbeveiligingsspecialisten. Dus, in dit moment van hands-on-deck, onderzoeken alle kernbijdragers hoe de manipulatie heeft plaatsgevonden en welke kwetsbaarheid dit mogelijk heeft gemaakt. Onze beveiligingspartners zijn ook diep betrokken, om ervoor te zorgen dat we een grondig begrip krijgen van de gebeurtenissen die hebben plaatsgevonden en om eventuele bijbehorende risico's zo snel mogelijk te minimaliseren. Onze primaire focus ligt op herstel en het pinpointen van de oorzaak van het probleem. Onderneem acties: Handel op GMX V1, en het minten en inwisselen van GLP, zijn uitgeschakeld op zowel Arbitrum als Avalanche om verdere aanvalsvectoren te voorkomen en gebruikers te beschermen tegen extra negatieve gevolgen. Reikwijdte van de kwetsbaarheid: Houd er rekening mee dat de exploit GMX V2, zijn markten of liquiditeitspools, noch de GMX-token zelf beïnvloedt. Op basis van de beschikbare informatie is de kwetsbaarheid beperkt tot GMX V1 en zijn GLP-pool. Zodra we meer complete en gevalideerde informatie hebben, volgt er een gedetailleerd incidentrapport.

IV. Door een geautomatiseerde keeper (softwarebot) te gebruiken, heeft de aanvaller tijdens de uitvoering veel short orders geactiveerd (met timelock.enableLeverage) om de GLP-prijs op te blazen en vervolgens uitbetaald in echte activa.

V. Alle gestolen activa zijn naar een enkele wallet gestuurd (0xDF3340a436c27655bA62F8281565C9925C3a5221). ~$10M is overgezet naar @ethereum en omgewisseld voor $ETH en $DAI; de rest (~$32M) bleef op @arbitrum in tokens zoals $wBTC, $FRAX, $LINK, $USDC en $USDT. Een deel van de fondsen is gemixt via @TornadoCash.

VI. "Hoe hebben de audits dit gemist?" @GMX_IO V1-contracten waren onderworpen aan audits van @Quantstamp en @ABDKconsulting, samen met bug bounty-programma's en monitoring van @GuardianAudits. Toch hebben deze de protocol-specifieke logische fout met betrekking tot real-time prijsupdates tijdens short trades niet opgemerkt.

VII. Zelfs geauditeerde code kan falen wanneer subtiel protocolgedrag niet grondig is getest.

VIII. "Wat heeft @GMX_IO gedaan om schade te beperken?" Alle V1-handel en GLP-operaties gepauzeerd om verdere uitbuiting te voorkomen. Daarnaast bood @GMX_IO een beloning van 10% (~$4,2M) aan de aanvaller voor het snel teruggeven van de fondsen.

Wat denken jullie, jongens, van de @GMX_IO hack? @splinter0n @0xDefiLeo @the_smart_ape @0xCheeezzyyyy @DOLAK1NG @YashasEdu @0xAndrewMoh @eli5_defi @_SmokinTed @RubiksWeb3hub @kenodnb @lstmaximalist