المواضيع الرائجة
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
انهيار اختراق GMX.
🧵
II. "انتظر ، ماذا حدث؟"
في 9 يوليو ، تم اختراق @GMX_IO V1 على @arbitrum ، وسرقة ~ 40 مليون دولار من تجمع GLP.
أوقفت @GMX_IO التداول بسرعة على V1 وعطلت سك أو استرداد رموز GLP على كل من @arbitrum و @avax لمنع المزيد من الضرر.
9 يوليو، 22:35
تعرض تجمع GLP الخاص ب GMX V1 على Arbitrum لاستغلال. تم تحويل ما يقرب من 40 مليون دولار من الرموز المميزة من مجمع GLP إلى محفظة غير معروفة.
لطالما كان الأمان أولوية أساسية لشركة GMX، حيث تخضع عقود GMX الذكية للعديد من عمليات التدقيق من كبار المتخصصين في الأمن. لذلك ، في هذه اللحظة العملية على سطح السفينة ، يحقق جميع المساهمين الأساسيين في كيفية حدوث التلاعب ، وما هي الثغرة الأمنية التي ربما تكون قد مكنتها.
كما يشارك شركاؤنا الأمنيون بعمق لضمان اكتساب فهم شامل للأحداث التي وقعت وتقليل أي مخاطر مرتبطة بها في أسرع وقت ممكن. ينصب تركيزنا الأساسي على التعافي وتحديد السبب الجذري للمشكلة.
الإجراءات المتخذة:
تم تعطيل التداول على GMX V1 وسك واسترداد GLP على كل من Arbitrum و Avalanche لمنع أي ناقلات هجوم أخرى وحماية المستخدمين من التأثيرات السلبية الإضافية.
نطاق الثغرة الأمنية:
يرجى ملاحظة أن الاستغلال لا يؤثر على GMX V2 أو أسواقها أو مجمعات السيولة ولا على رمز GMX نفسه.
بناء على المعلومات المتوفرة ، تقتصر الثغرة الأمنية على GMX V1 وتجمع GLP الخاص به.
بمجرد أن يكون لدينا معلومات أكثر اكتمالا والتحقق من صحتها ، سيتبع ذلك تقرير مفصل عن الحادث.
IV. باستخدام حارس آلي (روبوت برمجي) ، قام المهاجم بتشغيل الكثير من الأوامر القصيرة أثناء التنفيذ (باستخدام timelock.enableLeverage) لتضخيم سعر GLP ثم صرفها مقابل الأصول الحقيقية.
V. تم إرسال جميع الأصول المسروقة إلى محفظة واحدة (0xDF3340a436c27655bA62F8281565C9925C3a5221).
~ 10 ملايين دولار تم سدها إلى @ethereum واستبدالها ب $ETH و $DAI ؛ بقي الباقي (~ 32 مليون دولار) على @arbitrum في رموز مثل $wBTC و $FRAX و $LINK و $USDC و $USDT.
تم خلط بعض الأموال من خلال @TornadoCash.
9 يوليو، 23:19
محفظة المهاجم:
0xDF3340a436c27655bA62F8281565C9925C3a5221
قاموا بتمويله قبل يومين عبر Tornado Cash ، وربط USDC > ETH ، وأعدوا الإضراب.
بعد الاستغلال ، بدأوا في الغسيل عبر السلاسل - تقسيم المسارات ومبادلتها وتعتيمها.
5/
VI. "كيف فاتتها عمليات التدقيق؟"
خضعت عقود V1 @GMX_IO لعمليات تدقيق من @Quantstamp و @ABDKconsulting ، إلى جانب مكافآت الأخطاء والمراقبة من @GuardianAudits.
ومع ذلك ، لم تلتقط هذه العيوب المنطقية الخاصة بالبروتوكول التي تنطوي على تحديثات الأسعار في الوقت الفعلي أثناء التداولات القصيرة.
VII. حتى التعليمات البرمجية المدققة يمكن أن تفشل عندما لا يتم اختبار سلوك البروتوكول الدقيق بدقة.
ثامنا: "ماذا فعلت @GMX_IO للتخفيف من الضرر؟"
أوقف جميع عمليات تداول V1 و GLP مؤقتا لمنع المزيد من الاستغلال.
أيضا ، عرضت @GMX_IO مكافأة بنسبة 10٪ (~ 4.2 مليون دولار) للمهاجم لإعادة الأموال على الفور.
ما رأيك ، بويس ، في @GMX_IO الاختراق؟
@splinter0n @0xDefiLeo @the_smart_ape @0xCheeezzyyyy @DOLAK1NG @YashasEdu @0xAndrewMoh @eli5_defi @_SmokinTed @RubiksWeb3hub @kenodnb @lstmaximalist
33.44K
الأفضل
المُتصدِّرة
التطبيقات المفضلة