NIE Haker TAK Portal Ostatnio, na dużej platformie DeFi @GMX_IO doszło do włamania w sieci @arbitrum, co skutkowało kradzieżą około 42 milionów dolarów w aktywach! 😵 @PortaltoBitcoin przedstawia świetne podsumowanie, jak przeprowadzono ten ogromny atak. Aby pokonać wroga, musisz najpierw go zrozumieć! Zróbmy szybki przegląd! 1️⃣ Jak doszło do włamania? GMX V1 ma pulę płynności o nazwie GLP, która przechowywała aktywa takie jak ETH, BTC i USDC wpłacane przez użytkowników. Haker użył następującej metody: ➡️ Atak re-entrancy To technika, w której funkcja kontraktu inteligentnego jest wielokrotnie wywoływana przed zaktualizowaniem salda, co pozwala na wprowadzenie wielu operacji niezauważonych. Dzięki temu, napastnik wyemitował ogromną ilość fałszywych tokenów GLP (w zasadzie jak drukowanie nieograniczonej ilości fałszywych bonów) Te fałszywe tokeny zostały następnie wymienione na prawdziwe aktywa (ETH, BTC, USDC) i wypłacone. 🫣 Na koniec skradzione fundusze zostały przeniesione do innych sieci, takich jak główny łańcuch Ethereum. łatwo to powiedzieć Wydrukowali fałszywe pokwitowania, wymienili je na prawdziwe pieniądze i zniknęli. 2️⃣ Dlaczego ten atak był udany? GMX V1 został zbudowany przy użyciu typowej architektury DeFi Wspólna pula płynności: Wszystkie aktywa użytkowników są przechowywane w jednym kontrakcie. Mint/Burn LP tokens: Używane do śledzenia dostarczania płynności. Złożona logika on-chain: Obsługuje salda, wymiany, likwidacje i więcej w tym samym kontrakcie. Ten ściśle powiązany projekt czyni go podatnym na ataki re-entrancy, gdzie haker może wprowadzić powtarzające się wywołania przed zaktualizowaniem sald przez system. Mimo że GMX przeszedł przez wiele audytów, ryzyka na poziomie projektu, takie jak wspólne fundusze + złożona logika + podatność na re-entrancy, wciąż pozostały. Więc, chociaż audyty mogą zmniejszyć błędy, nie mogą wyeliminować słabości strukturalnych i to doprowadziło do tej katastrofy. 🥲 3️⃣ Jak można było temu zapobiec? Odpowiedź leży w tym, co buduje @PortaltoBitcoin Atomic Swaps Oto jak różnią się Atomic Swaps: ❌ Brak pul płynności. ✅ Aktywa pozostają w twoim portfelu. ✅ Wymiana odbywa się tylko wtedy, gdy wszystkie warunki są spełnione. ✅ Jeśli coś się nie uda, twoje fundusze automatycznie wracają. ✅ Żaden kontrakt nie musi przechowywać funduszy ani aktualizować stanu. Z tymi ustawieniami 1⃣Nie ma skarbca do obrabowania. 2⃣Nie można wyemitować fałszywych tokenów. 3⃣A ataki re-entrancy stają się niemożliwe. To w zasadzie ostateczna tarcza przeciwko hakerom! W obliczu rosnącej liczby włamań w DeFi, wiele projektów teraz przechodzi w kierunku takiej architektury: Atomic swaps, samodzielne przechowywanie aktywów użytkowników i projekty odporne na re-entrancy. Dlatego przyszłość wygląda tak obiecująco dla @PortaltoBitcoin.