DApp Store | Hub da Web3 para eventos e jogos

Detalhamento do hack do GMX. 🧵

II. "Espere, o que aconteceu?" Em 9 de julho, @GMX_IO V1 no @arbitrum foi hackeado e ~ $ 40 milhões foram roubados do pool GLP. @GMX_IO interrompeu rapidamente a negociação na V1 e desativou a cunhagem ou resgate de tokens GLP em @arbitrum e @avax para evitar mais danos.

O pool GLP do GMX V1 no Arbitrum sofreu uma exploração. Aproximadamente US$ 40 milhões em tokens foram transferidos do pool GLP para uma carteira desconhecida. A segurança sempre foi uma prioridade central para a GMX, com os contratos inteligentes da GMX passando por inúmeras auditorias dos principais especialistas em segurança. Portanto, neste momento prático, todos os principais colaboradores estão investigando como a manipulação ocorreu e qual vulnerabilidade pode tê-la habilitado. Nossos parceiros de segurança também estão profundamente envolvidos, para garantir que obtenhamos uma compreensão completa dos eventos ocorridos e minimizemos quaisquer riscos associados o mais rápido possível. Nosso foco principal é a recuperação e a identificação da causa raiz do problema. Ações tomadas: A negociação no GMX V1 e a cunhagem e resgate de GLP foram desativadas na Arbitrum e na Avalanche para evitar mais vetores de ataque e proteger os usuários de impactos negativos adicionais. Âmbito da vulnerabilidade: Observe que a exploração não afeta o GMX V2, seus mercados ou pools de liquidez, nem o próprio token GMX. Com base nas informações disponíveis, a vulnerabilidade é limitada ao GMX V1 e seu pool de GLP. Assim que tivermos informações mais completas e validadas, um relatório detalhado do incidente será seguido.

IV. Usando um guardião automatizado (bot de software), o invasor acionou muitas ordens curtas durante a execução (com timelock.enableLeverage) para inflar o preço do GLP e, em seguida, sacou por ativos reais.

V. Todos os ativos roubados foram enviados para uma única carteira (0xDF3340a436c27655bA62F8281565C9925C3a5221). ~ $ 10 milhões foram transferidos para @ethereum e trocados por $ETH e $DAI; o restante (~ US$ 32 milhões) permaneceu em @arbitrum em tokens como $wBTC, $FRAX, $LINK, $USDC e $USDT. Alguns dos fundos foram misturados por meio de @TornadoCash.

VI. "Como as auditorias perderam?" @GMX_IO contratos V1 passaram por auditorias de @Quantstamp e @ABDKconsulting, juntamente com recompensas por bugs e monitoramento de @GuardianAudits. No entanto, eles não detectaram a falha lógica específica do protocolo envolvendo atualizações de preços em tempo real durante negociações curtas.

VII. Mesmo o código auditado pode falhar quando o comportamento sutil do protocolo não é completamente testado.

VIII. "O que @GMX_IO fez para mitigar os danos?" Pausou todas as operações de negociação V1 e GLP para evitar mais exploração. Além disso, @GMX_IO ofereceu uma recompensa de 10% (~ US$ 4,2 milhões) ao invasor por devolver os fundos prontamente.

O que vocês, bois, acham @GMX_IO hack? @splinter0n @0xDefiLeo @the_smart_ape @0xCheeezzyyyy @DOLAK1NG @YashasEdu @0xAndrewMoh @eli5_defi @_SmokinTed @RubiksWeb3hub @kenodnb @lstmaximalist