初期分析では、GMXのオーダーキーパーアカウント(0xd4266f8f82f7405429ee18559e548979d49160f3)がトランザクションを発行し、executeDecreaseOrderの最初のパラメーターとしてコントラクトアドレスを渡していることが示されています。その後、攻撃者はリエントランシーを利用して攻撃を実行しました。