ChainCatcher berita, menurut laporan resmi dari GMX, ringkasan laporan serangan kerentanan sebesar sekitar 40 juta dolar pada GMX V1 di Arbitrum. Penyerang langsung memanggil fungsi increasePosition dari kontrak Vault melalui reentrancy, menghindari kontrak PositionRouter dan PositionManager (yang biasanya bertanggung jawab untuk menghitung harga rata-rata shorting). Melalui manipulasi, penyerang menurunkan harga rata-rata shorting BTC dari 109.505,77 dolar menjadi 1.913,70 dolar. Dengan memanfaatkan Pinjaman Flash, penyerang membeli GLP dengan harga normal 1,45 dolar, membuka posisi sebesar 15 juta dolar. Karena harga yang dimanipulasi, harga GLP didorong naik di atas 27 dolar, dan penyerang melakukan penebusan GLP dengan harga tinggi untuk mendapatkan keuntungan. GMX telah mengonfirmasi bahwa V2 tidak memiliki kerentanan serupa.
Rencana langkah selanjutnya mengenai situasi dana: Sisa GLP pool sekitar 3,6 juta USD, dialokasikan untuk posisi yang belum ditutup. Biaya GLP V1 di Arbitrum minggu ini sekitar 500 ribu USD (setelah dikurangi 30% yang dialokasikan untuk staker GMX), akan dialihkan ke kas DAO untuk kompensasi. Pencetakan dan penebusan GLP di Arbitrum akan dinonaktifkan (penebusan yang dinonaktifkan harus menunggu 24 jam Timelock). Pencetakan GLP di Avalanche dinonaktifkan, tetapi fungsi penebusan tetap dipertahankan. Penutupan posisi V1 di Arbitrum dan Avalanche diaktifkan, namun pembukaan posisi dinonaktifkan untuk mencegah munculnya celah. Pesanan V1 di Arbitrum dan Avalanche dibatalkan. Sisa dana GLP di Arbitrum akan dialokasikan ke kolam kompensasi untuk digunakan oleh pemegang GLP yang terkena dampak.
Setelah langkah-langkah di atas selesai, GMX DAO akan membahas langkah-langkah kompensasi lebih lanjut. Disarankan agar semua fork GMX V1 segera mengambil tindakan, menunggu perbaikan dan audit sebelum mengaktifkan kembali perdagangan dan pencetakan token yang mirip dengan GLP.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Laporan ringkasan insiden serangan kerentanan senilai 40 juta dolar dirilis oleh GMX: GMX DAO akan membahas langkah-langkah kompensasi lebih lanjut.
ChainCatcher berita, menurut laporan resmi dari GMX, ringkasan laporan serangan kerentanan sebesar sekitar 40 juta dolar pada GMX V1 di Arbitrum. Penyerang langsung memanggil fungsi increasePosition dari kontrak Vault melalui reentrancy, menghindari kontrak PositionRouter dan PositionManager (yang biasanya bertanggung jawab untuk menghitung harga rata-rata shorting). Melalui manipulasi, penyerang menurunkan harga rata-rata shorting BTC dari 109.505,77 dolar menjadi 1.913,70 dolar. Dengan memanfaatkan Pinjaman Flash, penyerang membeli GLP dengan harga normal 1,45 dolar, membuka posisi sebesar 15 juta dolar. Karena harga yang dimanipulasi, harga GLP didorong naik di atas 27 dolar, dan penyerang melakukan penebusan GLP dengan harga tinggi untuk mendapatkan keuntungan. GMX telah mengonfirmasi bahwa V2 tidak memiliki kerentanan serupa. Rencana langkah selanjutnya mengenai situasi dana: Sisa GLP pool sekitar 3,6 juta USD, dialokasikan untuk posisi yang belum ditutup. Biaya GLP V1 di Arbitrum minggu ini sekitar 500 ribu USD (setelah dikurangi 30% yang dialokasikan untuk staker GMX), akan dialihkan ke kas DAO untuk kompensasi. Pencetakan dan penebusan GLP di Arbitrum akan dinonaktifkan (penebusan yang dinonaktifkan harus menunggu 24 jam Timelock). Pencetakan GLP di Avalanche dinonaktifkan, tetapi fungsi penebusan tetap dipertahankan. Penutupan posisi V1 di Arbitrum dan Avalanche diaktifkan, namun pembukaan posisi dinonaktifkan untuk mencegah munculnya celah. Pesanan V1 di Arbitrum dan Avalanche dibatalkan. Sisa dana GLP di Arbitrum akan dialokasikan ke kolam kompensasi untuk digunakan oleh pemegang GLP yang terkena dampak. Setelah langkah-langkah di atas selesai, GMX DAO akan membahas langkah-langkah kompensasi lebih lanjut. Disarankan agar semua fork GMX V1 segera mengambil tindakan, menunggu perbaikan dan audit sebelum mengaktifkan kembali perdagangan dan pencetakan token yang mirip dengan GLP.