دزدان دریایی رایانه Crypto 42 میلیون دلار در یک نور روز وسیع از استخر نقدینگی داوری GMX حذف می کند
علیرغم لایه های بررسی ، استخر V1 GMX GMX بیش از 40 میلیون دلار در سوء استفاده از بی پروا هک کرد. در حالی که عملکردهای اهرم اکنون یخ زده است ، بازرگانان کنجکاو هستند: چگونه قراردادهای کنترل شده شکسته شدند؟ و این برای آینده تجارت مداوم این نقص چیست؟
در 9 ژوئیه ، زنجیره ای در حال انجام و تغییر GMX تأیید کرد که استخر V1 GLP در داوری مورد سوء استفاده قرار گرفته است و بیش از 40 میلیون دلار در یک فرآیند واحد در یک کیف پول ناشناخته سیفون بوده است.
این حمله ، که به نظر می رسد مکانیسم طاق GLP را دستکاری کرده است ، پروتکل را مجبور به متوقف کردن تجارت و مکث ایستاده و استفاده از GLP و استفاده از داوری و بهمن کرده است. GMX اعلام کرد که این تخلف بر روی V1 جدا شده و بر GMX V2 ، سکه آن یا سایر بازارهای مربوطه تأثیر نمی گذارد.
اگرچه تیم GMX هنوز وکتور سوءاستفاده را به طور کامل اعلام نکرده است ، اما این رویداد شکنندگی قراردادهای هوشمند حسابرسی شده را نشان می دهد و سؤالات فوری را در مورد پایداری بازارهای اهرم غیر متمرکز نشان می دهد ، جایی که GMX مدتهاست که یک بازیگر غالب بوده است.
چگونه نمی توان جلوی سوء استفاده GMX را 40 میلیون دلار متوقف کرد
استخر GMX GMX GMX حمله کننده GMX با اضطراب ساده اما مخرب مؤثر بود. به گفته تحلیلگران blockchain ، این سوء استفاده از مکانیسم اهرم پروتکل برای نعناع برای نعناع بدون وثیقه مناسب دستکاری کرد.
آنها پس از تورم مصنوعی مهاجم خود ، از GLP کلاهبرداری برای دارایی های اساسی استفاده کردند و گفتند که این استخر بیش از 40 میلیون دلار در بلوک ها باقی مانده است.
وجوه برای مدت طولانی خالی نبود. طبق گفته های Cyvers و Lookonchain ، مهاجم از یک قرارداد مخرب تأمین شده با Cash Tornado برای پنهان کردن منشأ سوء استفاده استفاده کرد. تقریباً حدود 9.6 میلیون دلار فاصله تخمین زده شده 42 میلیون دلار از داوری به اتریوم با استفاده از پروتکل انتقال صلیب زنجیره ای دایره و بخش ها به سرعت به DAI تبدیل شد.
ETH ، USDC ، FSGLP ، DAI ، UNI ، FRAX ، USDT ، WETH و LINK این یک اعتصاب بسیار ثروتمند را شامل می شود که هر دو سکه محلی و مصنوعی را پوشش می دهد.
قبل از هک ، قراردادهای V1 GMX توسط بهترین شرکت های حسابرسی مورد بررسی قرار گرفت. ضمن ارزیابی خطرات اساسی مانند کنترل قبل از توزیع QuantSTMP ، کنترل مجدد و دسترسی ، مشاوره ABDK تست های استرس دیگری را انجام داد. با این وجود ، هیچ بازرسی وکتور دستکاری اهرم را که این سوءاستفاده را فراهم می کند ، مشخص نکرد.
نظارت بر یک نقطه کور تأکید می کند که در ایمنی تکرار می شود: بازرسی ها تمایل دارند که بر نقص های امنیتی کلی متمرکز شوند ، اما اغلب نقص های منطق خاص پروتکل را از دست می دهند. از قضا ، GMX اقدامات پیشگیرانه ای از جمله نظارت فعال توسط شرکت هایی مانند برنامه جایزه خطای 5 میلیون دلاری و ممیزی های نگهبان را انجام داده است.
این سوءاستفاده نه تنها GMX را تضعیف می کند ، بلکه به عنوان یک کل از الگوی امنیتی مبتنی بر کنترل شک و تردید می کند. اگر یک پروتکل بالغ و یک پروتکل آزمایش شده در جنگ می تواند 40 میلیون دلار به دلیل نقص منطقی از دست بدهد ، استنتاج برای پروژه های کمتر مورد بررسی عمیقاً نگران است.
در همین حال ، آدرس GMX به هکر ، واقعیت سخت Defi را تأکید می کند ، که یک جایزه 10 ٪ برای بازگشت بودجه ارائه می دهد: تلاش های نجات اغلب به مذاکره با مهاجمان متکی است.