GMX phát hành báo cáo tóm tắt sự kiện tấn công lỗ hổng trị giá 40 triệu USD: GMX DAO sẽ thảo luận về các biện pháp bồi thường thêm.

Tin tức từ ChainCatcher, theo báo cáo chính thức từ GMX, đã có một vụ tấn công lỗ hổng khoảng 40 triệu USD đối với GMX V1 trên Arbitrum. Kẻ tấn công đã gọi trực tiếp hàm increasePosition trong hợp đồng Vault thông qua việc gọi lại, đánh lừa các hợp đồng PositionRouter và PositionManager (thường chịu trách nhiệm tính toán giá trung bình của vị thế short). Thông qua thao tác, kẻ tấn công đã giảm giá trung bình của BTC từ 109,505.77 USD xuống còn 1,913.70 USD. Bằng cách sử dụng Khoản vay nhanh, kẻ tấn công đã mua GLP với giá bình thường 1.45 USD, mở một vị thế 15 triệu USD. Do giá đã bị thao túng, giá GLP đã tăng lên trên 27 USD, kẻ tấn công đã thu lợi bằng cách đổi GLP với giá cao. GMX đã xác nhận rằng V2 không có lỗ hổng tương tự. Kế hoạch tài chính bước tiếp theo: GLP pool còn lại khoảng 3,6 triệu USD, dự phòng cho các vị thế chưa đóng. Chi phí GLP V1 trên Arbitrum trong tuần này khoảng 500.000 USD (sau khi trừ đi 30% phân bổ cho những người nắm giữ GMX), sẽ được chuyển vào kho bạc DAO để bồi thường. Sẽ vô hiệu hóa việc đúc và rút GLP trên Arbitrum (việc rút bị vô hiệu hóa cần chờ 24 giờ Timelock). Vô hiệu hóa việc đúc GLP trên Avalanche, nhưng giữ lại chức năng rút. Kích hoạt việc đóng các vị thế V1 trên Arbitrum và Avalanche, vô hiệu hóa việc mở vị thế để ngăn chặn tái phát lỗ hổng. Hủy đơn hàng V1 trên Arbitrum và Avalanche. Số tiền còn lại của GLP trên Arbitrum sẽ được phân bổ vào quỹ bồi thường, dành cho những người nắm giữ GLP bị ảnh hưởng. Sau khi hoàn thành các bước trên, GMX DAO sẽ thảo luận về các biện pháp bồi thường thêm. Đề nghị tất cả các nhánh GMX V1 cần ngay lập tức thực hiện các biện pháp, chờ sửa chữa và kiểm toán trước khi kích hoạt lại giao dịch và việc đúc các token tương tự GLP.