- Topik
34117 Popularitas
13860 Popularitas
1577 Popularitas
1622 Popularitas
2964 Popularitas
29566 Popularitas
15706 Popularitas
21781 Popularitas
11147 Popularitas
1632 Popularitas
- Sematkan
34117 Popularitas
13860 Popularitas
1577 Popularitas
1622 Popularitas
2964 Popularitas
29566 Popularitas
15706 Popularitas
21781 Popularitas
11147 Popularitas
1632 Popularitas
GMX diserang sebesar 42 juta dolar! "Kerentanan reentrancy" menyebabkan masalah, laporan resmi mengungkapkan rencana kompensasi
Bursa Perpetual Futures terkemuka GMX yang terdesentralisasi mengalami serangan hacker pada 9 Juli pada deployment V1 di Arbitrum, dengan kerugian mencapai 42 juta dolar. Kejadian ini kembali membunyikan alarm keamanan di bidang DeFi. Pada malam 10 Juli waktu Taiwan, GMX menerbitkan laporan rinci di platform X, mengungkapkan penyebab dasar serangan ini, langkah awal yang diambil, dan rencana selanjutnya, serta menjelaskan bagaimana mereka akan mengganti kerugian pengguna yang terdampak.
GMX diserang karena: "celah reentrancy" telah dieksploitasi
Menurut laporan resmi GMX, serangan ini terjadi pada 9 Juli 2025 pukul 12:30 (UTC), di mana penyerang memanfaatkan celah "re-entrancy attack" pada GMX V1 di Arbitrum. Peretas langsung memanggil fungsi increasePosition dalam kontrak Vault, melewati mekanisme yang dihitung oleh kontrak PositionRouter dan PositionManager untuk harga rata-rata posisi pendek.
Penyerang memanipulasi harga rata-rata short Bitcoin dari 109,505.77 USD menjadi 1,913.70 USD, dan memanfaatkan pinjaman kilat untuk membeli GLP (token likuiditas GMX) dengan harga 1.45 USD, membuka posisi senilai 15.38 juta USD, dan akhirnya mendorong harga GLP di atas 27 USD, merealisasikan keuntungan besar.
Laporan menunjukkan bahwa titik masuk serangan terletak pada suatu fungsi di kontrak OrderBook. Meskipun fungsi tersebut memiliki modifier nonReentrant, itu hanya dapat mencegah reentrancy di dalam kontrak yang sama, dan tidak dapat mencegah serangan lintas kontrak. Ini menunjukkan adanya titik buta keamanan yang mungkin ada dalam interaksi kompleks pada protokol Keuangan Desentralisasi.
Langkah Awal dan Rencana Selanjutnya dari GMX
Terkait hal ini, GMX dengan cepat mengambil tindakan setelah menemukan celah, menghentikan perdagangan di Avalanche untuk mencegah kerugian yang lebih besar, dan menghubungi Arbitrum, pertukaran, protokol jembatan, serta penerbit stablecoin (seperti Circle, Tether, Frax) untuk melacak dana yang dicuri, sambil berkomunikasi dengan penyerang melalui pesan on-chain. GMX lebih lanjut menegaskan bahwa GMX V2 tidak memiliki celah serupa, karena perhitungan harga rata-rata untuk posisi pendek dan pelaksanaan pesanan dilakukan dalam kontrak yang sama.
Untuk menangani dampak lanjutan dari serangan dan melindungi kepentingan pengguna, GMX mengajukan rencana konkret berikut:
Alokasi Dana dan Cadangan Kompensasi: Saat ini terdapat sekitar 3,6 juta dolar AS dalam token di kolam GLP, yang ditahan karena posisi terbuka. Biaya GLP V1 di Arbitrum adalah sekitar 500 ribu dolar AS (setelah dikurangi biaya 30% untuk otomatis ditukarkan menjadi GMX), yang akan dialokasikan ke dalam kas GMX DAO untuk kompensasi pemegang GLP yang terdampak. Sisa dana GLP di Arbitrum akan dialokasikan ke dalam kolam kompensasi, untuk diajukan oleh pemegang GLP yang terdampak.
Larangan Pembuatan dan Penebusan GLP: Pembuatan dan penebusan GLP di Arbitrum akan dilarang. Pembuatan GLP di Avalanche akan dilarang, tetapi fungsi penebusan tetap terbuka, memungkinkan pengguna untuk mengelola dengan fleksibel.
Manajemen posisi dan pesanan: Setelah penarikan GLP di Arbitrum dinonaktifkan, fungsi penutupan posisi V1 di Arbitrum dan Avalanche akan diaktifkan, memungkinkan pengguna untuk menutup posisi yang ada. Namun, fungsi pembukaan posisi V1 tidak akan diaktifkan untuk mencegah serangan serupa terulang. Pesanan V1 yang ada di Arbitrum dan Avalanche tidak akan lagi dieksekusi, pengguna harus membatalkan semua pesanan V1 secara manual.
Diskusi tata kelola selanjutnya: GMX DAO akan memulai diskusi tata kelola untuk merencanakan langkah-langkah kompensasi lebih lanjut, memastikan distribusi yang adil dari dana yang tersisa dan merumuskan strategi pencegahan jangka panjang.
Dukungan untuk Staking esGMX: Di Arbitrum dan Avalanche, pengguna yang melakukan staking esGMX menggunakan GLP dapat terus melakukan staking. Pengguna di Avalanche dapat menebus GLP kapan saja, tetapi jika GLP tidak digunakan untuk staking, disarankan untuk melakukan penebusan.
Saran untuk fork GMX V1: GMX mendesak semua proyek fork V1 untuk mengambil dua langkah pencegahan terhadap serangan serupa:
2、Pembatasan pencetakan GLP.
Insiden peretasan GMX sekali lagi menyoroti tantangan keamanan kompleks yang dihadapi oleh protokol DeFi dalam perkembangan yang cepat. Meskipun GMX dengan cepat merespons dan mengumumkan laporan rinci serta rencana kompensasi, insiden ini tetap mengingatkan semua peserta DeFi untuk tetap waspada terhadap potensi kerentanan dalam kontrak pintar sambil menikmati kenyamanan yang ditawarkan oleh keuangan desentralisasi. Ini juga mendorong seluruh ekosistem DeFi untuk merenungkan lebih dalam tentang keamanan protokol dan manajemen risiko.