Nossa análise inicial indica que a conta order-keeper da GMX (0xd4266f8f82f7405429ee18559e548979d49160f3) emitiu uma transação, que passa um endereço de contrato como o primeiro parâmetro de executeDecreaseOrder, e então o invasor aproveitou uma reentrância para realizar o ataque.