- Topic
71374 Popularity
26446 Popularity
7957 Popularity
3451 Popularity
3608 Popularity
28875 Popularity
15230 Popularity
21705 Popularity
11342 Popularity
1744 Popularity
- Pin
71374 Popularity
26446 Popularity
7957 Popularity
3451 Popularity
3608 Popularity
28875 Popularity
15230 Popularity
21705 Popularity
11342 Popularity
1744 Popularity
GMX, 4.200.000 dolar değerinde bir hack raporu yayınladı: "Reentrancy açığı" hackerlar tarafından kullanıldı, kullanıcılar nasıl tazmin edilecek?
Taiwan saati ile 10 Temmuz akşamı, merkeziyetsiz sürekli sözleşme borsası GMX, 9 Temmuz'da 42 milyon dolar çalındıktan sonra X platformunda detaylı bir rapor yayımlayarak bu saldırının temel nedenlerini, ilk müdahale önlemlerini ve sonraki planları açıkladı. (Ön bilgi: GMX’in çalınan yalnızca para değil, aynı zamanda statü) (Arka plan bilgisi: Derinlemesine analiz》Altı büyük on-chain türetme protokolü karşılaştırması: GMX, Synthetix…) Eski merkeziyetsiz sürekli sözleşme borsası GMX'in Arbitrum üzerindeki V1 dağıtımı, 9 Temmuz'da siber saldırıya uğradı ve toplamda 42 milyon dolara kadar kayba neden oldu. Taiwan saati ile 10 Temmuz akşamı, GMX X platformunda detaylı bir rapor yayımlayarak bu saldırının temel nedenlerini, ilk müdahale önlemlerini ve sonraki planları açıkladı. GMX’in saldırıya uğrama nedeni GMX'in resmi raporuna göre, bu saldırı 2025 yılının 9 Temmuz'unda saat 12:30'da (UTC) gerçekleşti. Saldırgan, Arbitrum üzerindeki GMX V1'in "re-entrancy attack" açığını kullanarak, doğrudan Vault sözleşmesindeki increasePosition fonksiyonunu çağırdı ve normal süreçte PositionRouter ve PositionManager sözleşmelerinin ortalama kısa pozisyon fiyatını hesaplamasını atladı. Saldırgan, BTC’nin ortalama kısa pozisyon fiyatını 109,505.77 dolardan 1,913.70 dolara manipüle etti ve Flaş Krediler kullanarak 1.45 dolara GLP (GMX Likidite Token) satın aldı, 15.38 milyon dolarlık bir pozisyon açtı ve nihayetinde GLP fiyatını 27 dolardan fazla yükselterek büyük kar elde etti. Rapor, saldırı giriş noktasının OrderBook sözleşmesindeki bir fonksiyon olduğunu belirtiyor. Bu fonksiyon nonReentrant modifier ile korunmasına rağmen, yalnızca aynı sözleşme içindeki yeniden girişi engelleyebiliyor ve sözleşmeler arası saldırıları durduramıyor. Bu konuda, GMX açığı fark ettikten sonra hızlı bir şekilde harekete geçti, Avalanche üzerindeki işlemleri durdurdu, kayıpların artmasını önledi ve Arbitrum, borsa, köprü protokolleri ve stablecoin ihraççıları (Circle, Tether, Frax gibi) ile çalınan fonları takip etmek için iletişime geçti, aynı zamanda on-chain mesajlar aracılığıyla saldırganla temasa geçti. Ayrıca, GMX V2'nin benzer bir açığa sahip olmadığını, çünkü ortalama kısa pozisyon fiyatının hesaplanması ve emirlerin yürütülmesinin aynı sözleşme içinde gerçekleştirildiğini doğruladı. Sonraki eylem planı Saldırının sonraki etkilerini ele almak ve kullanıcıların haklarını korumak için GMX aşağıdaki spesifik planı önerdi: Fon dağılımı ve tazminat hazırlığı: Şu anda GLP havuzunda yaklaşık 3.6 milyon dolarlık token var, açık pozisyonlar nedeniyle tutuluyor. Arbitrum üzerindeki GLP'nin V1 maliyeti yaklaşık 500,000 dolardır (GMX'ye otomatik dönüşüm sonrası %30'luk maliyet düşüldüğünde), bu miktar GMX DAO hazinesine aktarılacak ve etkilenen GLP sahiplerine tazminat olarak kullanılacak. Arbitrum üzerindeki GLP’nin kalan fonları tazminat havuzuna aktarılacak ve etkilenen GLP sahipleri tarafından başvuruya açılacaktır. GLP mintleme ve geri alma işlemlerini devre dışı bırakma: Arbitrum üzerindeki GLP mintleme ve geri alma işlemleri devre dışı bırakılacaktır. Avalanche üzerindeki GLP mintleme işlemleri devre dışı bırakılacak, ancak geri alma işlemi açık tutulacak, böylece kullanıcıların esnek bir şekilde işlem yapmasına olanak tanınacaktır. Pozisyon ve emir yönetimi: Arbitrum üzerindeki GLP geri alma işlemleri devre dışı bırakıldıktan sonra, Arbitrum ve Avalanche üzerindeki V1 pozisyon kapatma işlevi etkinleştirilecektir, böylece kullanıcılar mevcut pozisyonlarını kapatabilecektir. Ancak V1 pozisyon açma işlevi etkinleştirilmeyecek, böylece benzer saldırıların tekrar yaşanmasının önüne geçilecektir. Arbitrum ve Avalanche üzerindeki mevcut V1 emirleri artık yürütülmeyecek, kullanıcıların tüm V1 emirlerini kendileri iptal etmesi gerekecektir. Sonraki yönetim tartışmaları: GMX DAO, daha fazla tazminat önlemleri konusunda planlama yapmak üzere bir yönetim tartışması başlatacaktır, böylece kalan fonların adil dağıtımını sağlamak ve uzun vadeli önleme stratejileri geliştirmek hedeflenmektedir. esGMX stake etmeyi destekleme: Arbitrum ve Avalanche üzerinde, GLP kullanarak esGMX stake eden kullanıcılar stake etmeye devam edebilir. Avalanche üzerindeki kullanıcılar istedikleri zaman GLP'yi geri alabilir, ancak GLP stake edilmemişse, geri alma işlemini gerçekleştirmeleri önerilmektedir. GMX V1 forkları için öneri: GMX, tüm V1 fork projelerinin benzer saldırıları önlemek için iki önlem almasını teşvik etmektedir: 1) Kaldıraç işlevini devre dışı bırakma; 2) GLP mintlemeyi sınırlama. İlgili raporlar GMX’in en büyük balinası 12 milyon dolar değerinde ETH kısa pozisyona girdi! %75 zarar etti, likidasyon riskiyle karşı karşıya Compound III, Arbitrum’a açıldı, ARB, GMX, WETH, WBTC teminatıyla USDC borç verme desteği Sağlıksız büyüyen yıldız proje MUX, GMX’nin katili mi olacak?〈GMX, 42 milyon dolar çalındı raporunu açıkladı: "Re-entrancy açığı" saldırganlar tarafından kullanıldı, kullanıcılar nasıl tazmin edilecek?〉Bu makale, ilk olarak BlockTempo'da yayınlandı, "Hareketli Bölge - En etkili blok zinciri haber medya".