Портал NO Hacker YES Нещодавно @GMX_IO великої платформи DeFi було зламано в мережі @arbitrum, що призвело до крадіжки активів на суму близько 42 мільйонів доларів! 😵 @PortaltoBitcoin дають чудову інформацію про те, як було здійснено цей масштабний експлойт. Щоб перемогти ворога, потрібно спочатку його зрозуміти! Давайте коротко подивимося! 1️⃣ Як стався злом? GMX V1 має пул ліквідності під назвою GLP, у якому зберігаються такі активи, як ETH, BTC і USDC, внесені користувачами. Хакер використовував наступний метод ➡️ Атака повторного входу Це техніка, коли функція смарт-контракту багаторазово викликається перед оновленням балансу, що дозволяє кільком операціям проникнути непомітно. Використовуючи це, зловмисник викарбував величезну кількість фальшивих токенів GLP (в основному як друк необмеженої кількості підроблених ваучерів) Потім ці фальшиві токени були обміняні на реальні активи (ETH, BTC, USDC) і виведені. 🫣 Нарешті, вкрадені кошти були переведені в інші мережі, такі як основна мережа Ethereum. Ось що легко сказати Вони друкували фальшиві чеки, обмінювали їх на справжні гроші і зникали. 2️⃣ Чому ця атака була успішною? GMX V1 був побудований з використанням типової архітектури DeFi Спільний пул ліквідності: усі активи користувачів зберігаються в одному контракті. Mint/Burn LP tokens: використовується для відстеження надання ліквідності. Складна логіка в ланцюжку: обробляє баланси, свопи, ліквідацію та багато іншого в межах одного контракту. Така щільно пов'язана конструкція робить його вразливим до атак повторного входу, коли хакер може проникнути в повторні дзвінки до того, як система оновить баланси. Незважаючи на те, що GMX пройшла численні аудити, Ризики на рівні дизайну, такі як об'єднані кошти + складна логіка + вразливість до повторного входу, все ще залишалися Таким чином, хоча аудити можуть зменшити кількість помилок, вони не можуть усунути структурні недоліки, і саме це призвело до цієї катастрофи. 🥲 3️⃣ Як цьому можна було запобігти? Відповідь криється в тому, що @PortaltoBitcoin будує Атомарні свопи Ось чим відрізняються Atomic Swaps: ❌ Немає пулів ліквідності. ✅ Активи залишаються у вашому гаманці. ✅ Своп виконується лише за умови виконання всіх умов. ✅ Якщо щось не допомагає, ваші кошти автоматично повертаються. ✅ Жоден контракт не повинен утримувати кошти або оновлювати стан За допомогою таких установок 1⃣Немає сховища, яке можна було б пограбувати 2⃣Жодні фальшиві токени не можуть бути викарбувані 3⃣І атаки повторного входу стають неможливими По суті, це найкращий щит від хакерів! У зв'язку зі зростанням кількості хакерських атак DeFi багато проєктів тепер переходять до такого типу архітектури: атомарні свопи, самостійне зберігання активів користувачів і дизайни, захищені від повторного входу Ось чому майбутнє виглядає таким райдужним для @PortaltoBitcoin