Uppdelning av GMX-hacket.
đ§”
II. "VÀnta, vad hÀnde?"
Den 9 juli hackades @GMX_IO V1 pÄ @arbitrum och ~40 miljoner dollar stals frÄn GLP-poolen.
@GMX_IO stoppade snabbt handeln pÄ V1 och inaktiverade prÀgling eller inlösen av GLP-tokens pÄ bÄde @arbitrum och @avax för att förhindra ytterligare skador.
GLP-poolen för GMX V1 pÄ Arbitrum har utsatts för en exploatering. Cirka 40 miljoner dollar i tokens har överförts frÄn GLP-poolen till en okÀnd plÄnbok.
SÀkerhet har alltid varit en kÀrnprioritet för GMX, och de smarta GMX-kontrakten har genomgÄtt mÄnga granskningar av de frÀmsta sÀkerhetsspecialisterna. SÄ i det hÀr praktiska ögonblicket undersöker alla viktiga bidragsgivare hur manipulationen intrÀffade och vilken sÄrbarhet som kan ha möjliggjort den.
VÄra sÀkerhetspartners Àr ocksÄ djupt involverade för att sÀkerstÀlla att vi fÄr en grundlig förstÄelse för de hÀndelser som intrÀffat och minimerar eventuella risker sÄ snabbt som möjligt. VÄrt primÀra fokus ligger pÄ ÄterhÀmtning och att hitta grundorsaken till problemet.
Vidtagna ÄtgÀrder:
Handel pÄ GMX V1 och prÀgling och inlösen av GLP har inaktiverats pÄ bÄde Arbitrum och Avalanche för att förhindra ytterligare attackvektorer och skydda anvÀndare frÄn ytterligare negativa effekter.
SĂ„rbarhetens omfattning:
Observera att exploateringen inte pÄverkar GMX V2, dess marknader eller likviditetspooler, och inte heller sjÀlva GMX-token.
Baserat pÄ tillgÀnglig information Àr sÄrbarheten begrÀnsad till GMX V1 och dess GLP-pool.
SÄ snart vi har mer fullstÀndig och validerad information kommer en detaljerad incidentrapport att följa.
IV. Med hjÀlp av en automatiserad keeper (mjukvarubot) utlöste angriparen massor av korta order under utförandet (med timelock.enableLeverage) för att blÄsa upp GLP-priset och tog sedan ut pengar för verkliga tillgÄngar.
V. Alla stulna tillgÄngar skickades till en enda plÄnbok (0xDF3340a436c27655bA62F8281565C9925C3a5221).
~10 miljoner dollar överbryggades till @ethereum och byttes mot $ETH och $DAI; resten (~32 miljoner dollar) stannade kvar pÄ @arbitrum i tokens som $wBTC, $FRAX, $LINK, $USDC och $USDT.
En del av fonderna blandades genom @TornadoCash.
VI. "Hur kunde revisionerna missa det?"
@GMX_IO V1-kontrakten hade genomgÄtt revisioner frÄn @Quantstamp och @ABDKconsulting, tillsammans med bug bounties och övervakning frÄn @GuardianAudits.
ĂndĂ„ fĂ„ngade dessa inte upp det protokollspecifika logiska felet med prisuppdateringar i realtid under korta affĂ€rer.
VII. Ăven granskad kod kan misslyckas nĂ€r subtilt protokollbeteende inte testas noggrant.
VIII. "Vad @GMX_IO gjorde för att mildra skadan?"
Pausade all V1-handel och GLP-operationer för att förhindra ytterligare exploatering.
Dessutom erbjöd @GMX_IO en belöning pÄ 10 % (~4,2 miljoner dollar) till angriparen för att returnera pengarna snabbt.
Vad tycker du, bois, om @GMX_IO hacka?
@splinter0n @0xDefiLeo @the_smart_ape @0xCheeezzyyyy @DOLAK1NG @YashasEdu @0xAndrewMoh @eli5_defi @_SmokinTed @RubiksWeb3hub @kenodnb @lstmaximalist
28,24Â tn
61
InnehÄllet pÄ den hÀr sidan tillhandahÄlls av tredje part. Om inte annat anges Àr OKX inte författare till den eller de artiklar som citeras och hÀmtar inte nÄgon upphovsrÀtt till materialet. InnehÄllet tillhandahÄlls endast i informationssyfte och representerar inte OKX:s Äsikter. Det Àr inte avsett att vara ett godkÀnnande av nÄgot slag och bör inte betraktas som investeringsrÄdgivning eller en uppmaning att köpa eller sÀlja digitala tillgÄngar. I den mÄn generativ AI anvÀnds för att tillhandahÄlla sammanfattningar eller annan information kan sÄdant AI-genererat innehÄll vara felaktigt eller inkonsekvent. LÀs den lÀnkade artikeln för mer detaljer och information. OKX ansvarar inte för innehÄll som finns pÄ tredje parts webbplatser. Innehav av digitala tillgÄngar, inklusive stabila kryptovalutor och NFT:er, innebÀr en hög grad av risk och kan fluktuera kraftigt. Du bör noga övervÀga om handel med eller innehav av digitala tillgÄngar Àr lÀmpligt för dig mot bakgrund av din ekonomiska situation.