De oorzaak van deze aanval ligt in een ontwerpfout van @GMX_IO v1, waarbij shortpositie-operaties onmiddellijk de globale short gemiddelde prijzen (globalShortAveragePrices) bijwerken, wat direct invloed heeft op de berekening van de Assets Under Management (AUM), waardoor manipulatie van de GLP-tokenprijzen mogelijk is. De aanvaller heeft deze ontwerpfout uitgebuit door gebruik te maken van de mogelijkheid van de Keeper om `timelock.enableLeverage` in te schakelen tijdens de uitvoering van de bestelling (een vereiste voor het creëren van grote shortposities). Door middel van een re-entrancy-aanval hebben ze met succes enorme shortposities opgebouwd om de globale gemiddelde prijzen te manipuleren, waardoor de GLP-prijzen kunstmatig werden opgeblazen binnen één enkele transactie en winst werd gemaakt via terugkoopoperaties.
GMX 🫐
GMX 🫐9 jul, 22:35
De GLP-pool van GMX V1 op Arbitrum heeft een exploit ondergaan. Ongeveer $40M aan tokens is overgedragen van de GLP-pool naar een onbekende wallet. Beveiliging is altijd een kernprioriteit geweest voor GMX, waarbij de GMX-smart contracts talrijke audits hebben ondergaan van topbeveiligingsspecialisten. Dus, in dit moment van hands-on-deck, onderzoeken alle kernbijdragers hoe de manipulatie heeft plaatsgevonden en welke kwetsbaarheid dit mogelijk heeft gemaakt. Onze beveiligingspartners zijn ook diep betrokken, om ervoor te zorgen dat we een grondig begrip krijgen van de gebeurtenissen die hebben plaatsgevonden en om eventuele bijbehorende risico's zo snel mogelijk te minimaliseren. Onze primaire focus ligt op herstel en het pinpointen van de oorzaak van het probleem. Onderneem acties: Handel op GMX V1, en het minten en inwisselen van GLP, zijn uitgeschakeld op zowel Arbitrum als Avalanche om verdere aanvalsvectoren te voorkomen en gebruikers te beschermen tegen extra negatieve gevolgen. Reikwijdte van de kwetsbaarheid: Houd er rekening mee dat de exploit GMX V2, zijn markten of liquiditeitspools, noch de GMX-token zelf beïnvloedt. Op basis van de beschikbare informatie is de kwetsbaarheid beperkt tot GMX V1 en zijn GLP-pool. Zodra we meer complete en gevalideerde informatie hebben, volgt er een gedetailleerd incidentrapport.
120,06K