Populære emner
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
Sammenbrudd av GMX-hacket.
🧵
II. «Vent, hva skjedde?»
9. juli ble @GMX_IO V1 på @arbitrum hacket, og ~40 millioner dollar ble stjålet fra GLP-poolen.
@GMX_IO stoppet raskt handelen på V1 og deaktiverte preging eller innløsning av GLP-tokens på både @arbitrum og @avax for å forhindre ytterligere skade.
9. juli, 22:35
GLP-poolen til GMX V1 på Arbitrum har opplevd en utnyttelse. Omtrent 40 millioner dollar i tokens har blitt overført fra GLP-poolen til en ukjent lommebok.
Sikkerhet har alltid vært en kjerneprioritet for GMX, med GMX-smartkontrakter som gjennomgår en rekke revisjoner fra topp sikkerhetsspesialister. Så i dette øyeblikket, undersøker alle kjernebidragsytere hvordan manipulasjonen skjedde, og hvilken sårbarhet som kan ha muliggjort den.
Våre sikkerhetspartnere er også dypt involvert for å sikre at vi får en grundig forståelse av hendelsene som skjedde og minimerer eventuelle tilknyttede risikoer så raskt som mulig. Vårt primære fokus er på gjenoppretting og å finne årsaken til problemet.
Tiltak som er utført:
Handel på GMX V1, og preging og innløsning av GLP, har blitt deaktivert på både Arbitrum og Avalanche for å forhindre ytterligere angrepsvektorer og beskytte brukere mot ytterligere negative påvirkninger.
Omfanget av sikkerhetsproblemet:
Vær oppmerksom på at utnyttelsen ikke påvirker GMX V2, dets markeder eller likviditetspooler, og heller ikke selve GMX-tokenet.
Basert på tilgjengelig informasjon er sårbarheten begrenset til GMX V1 og dets GLP-pool.
Så snart vi har mer fullstendig og validert informasjon, vil en detaljert hendelsesrapport følge.
IV. Ved å bruke en automatisert keeper (programvarebot), utløste angriperen mange korte ordrer under utførelse (med timelock.enableLeverage) for å blåse opp GLP-prisen og deretter utbetalt for reelle eiendeler.
V. Alle stjålne eiendeler ble sendt til en enkelt lommebok (0xDF3340a436c27655bA62F8281565C9925C3a5221).
~10 millioner dollar ble brolagt til @ethereum og byttet mot $ETH og $DAI; resten (~$32 millioner) holdt seg på @arbitrum i tokens som $wBTC, $FRAX, $LINK, $USDC og $USDT.
Noen av midlene ble blandet gjennom @TornadoCash.
9. juli, 23:19
angriperens lommebok:
0xDF3340a436c27655bA62F8281565C9925C3a5221
de finansierte den to dager tidligere via Tornado Cash, bygde bro mellom USDC > ETH og forberedte streiken.
Etter utnyttelsen begynte de å hvitvaske på tvers av kjeder - splitte, bytte og tilsløre spor.
5/
VI. «Hvordan gikk revisjonene glipp av det?»
@GMX_IO V1-kontraktene hadde gjennomgått revisjoner fra @Quantstamp og @ABDKconsulting, sammen med bug bounties og overvåking fra @GuardianAudits.
Likevel fanget ikke disse opp den protokollspesifikke logikkfeilen som involverte prisoppdateringer i sanntid under korte handler.
VII. Selv revidert kode kan mislykkes når subtil protokollatferd ikke testes grundig.
VIII. «Hva @GMX_IO gjort for å redusere skaden?»
Satte all V1-handel og GLP-operasjoner på pause for å forhindre ytterligere utnyttelse.
@GMX_IO tilbød også en dusør på 10 % (~4,2 millioner dollar) til angriperen for å returnere midlene umiddelbart.
Hva synes du, bois, om @GMX_IO hack?
@splinter0n @0xDefiLeo @the_smart_ape @0xCheeezzyyyy @DOLAK1NG @YashasEdu @0xAndrewMoh @eli5_defi @_SmokinTed @RubiksWeb3hub @kenodnb @lstmaximalist
28,24K
Topp
Rangering
Favoritter