Notre analyse initiale indique que le compte d'order-keeper de GMX (0xd4266f8f82f7405429ee18559e548979d49160f3) a émis une transaction, qui transmet une adresse de contrat comme premier paramètre de executeDecreaseOrder, puis l'attaquant a exploité une réentrance pour mener à bien l'attaque.