Розбір злому GMX. 🧵

II. «Стривайте, що сталося?» 9 липня @GMX_IO V1 на @arbitrum було зламано, а з пулу GLP було вкрадено ~40 мільйонів доларів. @GMX_IO швидко зупинила торгівлю на V1 і відключила карбування або обмін токенів GLP як на @arbitrum, так і на @avax, щоб запобігти подальшим збиткам.

Пул GLP GMX V1 на Arbitrum зазнав експлойту. Приблизно $40 млн токенів було переказано з пулу GLP на невідомий гаманець. Безпека завжди була основним пріоритетом для GMX, оскільки смарт-контракти GMX проходили численні аудити від провідних фахівців з безпеки. Отже, у цей практичний момент усі основні учасники розслідують, як сталася маніпуляція та яка вразливість могла її уможливити. Наші партнери з безпеки також беруть активну участь, щоб гарантувати, що ми отримуємо глибоке розуміння подій, що відбулися, і якнайшвидше мінімізуємо будь-які пов'язані з ними ризики. Наша основна увага зосереджена на відновленні та виявленні кореневої причини проблеми. Вжиті заходи: Торгівля на GMX V1, а також карбування та погашення GLP були відключені як на Arbitrum, так і на Avalanche, щоб запобігти будь-яким подальшим векторам атак і захистити користувачів від додаткових негативних впливів. Сфера застосування вразливості: Зверніть увагу, що експлойт не впливає на GMX V2, його ринки або пули ліквідності, а також на сам токен GMX. Виходячи з наявної інформації, вразливість обмежена GMX V1 та його пулом GLP. Як тільки ми отримаємо більш повну та перевірену інформацію, ми отримаємо детальний звіт про інцидент.

IV. Використовуючи автоматизованого кіпера (програмного бота), зловмисник запускав багато коротких ордерів під час виконання (з timelock.enableLeverage), щоб завищити ціну GLP, а потім переводив у готівку реальні активи.

V. Всі вкрадені активи були відправлені на єдиний гаманець (0xDF3340a436c27655bA62F8281565C9925C3a5221). ~10 мільйонів доларів було перекинуто на @ethereum та обміняно на $ETH та $DAI; решта (~$32 млн) залишилася на @arbitrum в таких токенах, як $wBTC, $FRAX, $LINK, $USDC та $USDT. Частина коштів була змішана через @TornadoCash.

VI. «Як ревізії пропустили це?» @GMX_IO контракти V1 пройшли аудити від @Quantstamp та @ABDKconsulting, а також винагороди за виявлення помилок та моніторинг від @GuardianAudits. Тим не менш, вони не виявили специфічного для протоколу логічного недоліку, пов'язаного з оновленням цін у режимі реального часу під час коротких угод.

VII. Навіть перевірений код може дати збій, коли тонка поведінка протоколу не буде ретельно протестована.

VIII. «Що @GMX_IO зробили, щоб зменшити шкоду?» Призупинено всі операції V1 trading та GLP, щоб запобігти подальшій експлуатації. Крім того, @GMX_IO запропонував зловмиснику винагороду в розмірі 10% (~$4,2 млн) за швидке повернення коштів.

Що ти, буа, думаєш про @GMX_IO халтуру? @splinter0n @0xDefiLeo @the_smart_ape @0xCheeezzyyyy @DOLAK1NG @YashasEdu @0xAndrewMoh @eli5_defi @_SmokinTed @RubiksWeb3hub @kenodnb @lstmaximalist