NO Hacker YES Portal Недавно на крупной DeFi платформе @GMX_IO произошла хакерская атака в сети @arbitrum, в результате которой было украдено около 42 миллионов долларов в активах! 😵 @PortaltoBitcoin предоставляет отличное объяснение того, как была осуществлена эта масштабная эксплуатация. Чтобы победить врага, вы должны сначала понять его! Давайте быстро взглянем! 1️⃣ Как произошла атака? GMX V1 имеет ликвидный пул под названием GLP, который содержал активы, такие как ETH, BTC и USDC, внесенные пользователями. Хакер использовал следующий метод: ➡️ Атака повторного входа Это техника, при которой функция смарт-контракта вызывается многократно до обновления баланса, что позволяет нескольким операциям незаметно проникнуть. Используя это, злоумышленник создал огромное количество поддельных токенов GLP (по сути, как печатание неограниченного количества поддельных ваучеров). Эти поддельные токены затем были обменены на реальные активы (ETH, BTC, USDC) и выведены. 🫣 В конце концов, украденные средства были переведены на другие сети, такие как основная сеть Ethereum. Легко сказать: Они напечатали поддельные квитанции, обменяли их на реальные деньги и исчезли. 2️⃣ Почему эта атака была успешной? GMX V1 была построена с использованием типичной архитектуры DeFi. Общий ликвидный пул: Все активы пользователей хранятся в одном контракте. Создание/Сжигание LP токенов: Используется для отслеживания предоставления ликвидности. Сложная логика на блокчейне: Обрабатывает балансы, обмены, ликвидацию и многое другое в одном контракте. Этот тесно связанный дизайн делает его уязвимым для атак повторного входа, когда хакер может незаметно вносить повторные вызовы до обновления балансов. Несмотря на то, что GMX прошла несколько аудитов, риски на уровне дизайна, такие как объединенные фонды + сложная логика + уязвимость повторного входа, все еще оставались. Таким образом, хотя аудиты могут уменьшить количество ошибок, они не могут устранить структурные слабости, и именно это привело к этой катастрофе. 🥲 3️⃣ Как это можно было предотвратить? Ответ заключается в том, что строит @PortaltoBitcoin. Атомарные свопы. Вот как атомарные свопы отличаются: ❌ Нет ликвидных пулов. ✅ Активы остаются в вашем кошельке. ✅ Обмен выполняется только при выполнении всех условий. ✅ Если что-то не сработает, ваши средства автоматически вернутся. ✅ Никакой контракт не должен хранить средства или обновлять состояние. С этой настройкой: 1⃣ Нет хранилища, которое можно было бы ограбить. 2⃣ Невозможно создать поддельные токены. 3⃣ Атаки повторного входа становятся невозможными. Это, по сути, окончательный щит против хакеров! С увеличением числа хакерских атак в DeFi многие проекты теперь переходят к такой архитектуре: атомарные свопы, самоуправление активами пользователей и дизайны, защищенные от повторного входа. Вот почему будущее выглядит так ярко для @PortaltoBitcoin.