Kripto korsanları, GMX'in Arbitrum likidite havuzundan güpegündüz 42 milyon dolar çaldı

Katmanlarca incelemeye rağmen, $GMX'in V1 GLP havuzu, küstah bir istismarla 40 milyon doların üzerinde bir zarara uğradı. Kaldıraç fonksiyonları dondurulmuşken, yatırımcılar merak ediyor: Denetlenmiş sözleşmeler nasıl kırıldı? Ve bu, DeFi'nin sürekli işlem geleceği için ne anlama geliyor? 9 Temmuz'da, zincir üstü sürekli ve spot borsa $GMX, Arbitrum üzerindeki V1 GLP havuzunun istismar edildiğini ve 40 milyon doların üzerinde çeşitli token'ın tek bir işlemde bilinmeyen bir cüzdana aktarıldığını doğruladı. GLP kasa mekanizmasını manipüle etmiş gibi görünen saldırı, protokolü ticareti durdurmaya ve hem Arbitrum hem de Avalanche'da GLP basımını ve itfasını duraklatmaya zorladı. $GMX, ihlalin V1 ile sınırlı olduğunu ve $GMX V2'yi, token'ını veya diğer ilişkili pazarları etkilemediğini açıkladı. $GMX ekibi henüz kesin istismar vektörünü açıklamamış olsa da, olay denetlenmiş akıllı sözleşmelerin bile kırılganlığını ortaya koyuyor ve $GMX'in uzun süredir baskın oyuncu olduğu merkezi olmayan kaldıraç piyasalarının sürdürülebilirliği hakkında acil soruları gündeme getiriyor. Saldırganın $GMX'in V1 GLP havuzundan 40 milyon doları çekme yolu, endişe verici derecede basitti ancak yıkıcı derecede etkiliydi. Blockchain analistlerine göre, istismar, protokolün kaldıraç mekanizmasını manipüle ederek uygun teminat olmadan aşırı GLP token'ları basmayı içeriyordu. Saldırgan konumunu yapay olarak şişirdikten sonra, hileli bir şekilde basılan GLP'yi temel varlıklar için itfa etti ve havuzu bloklar içinde 40 milyon doların üzerinde açıkta bıraktı. Fonlar uzun süre boşta kalmadı. Cyvers ve Lookonchain'e göre, saldırgan istismarın kökenini gizlemek için Tornado Cash aracılığıyla finanse edilen kötü amaçlı bir sözleşme kullandı. Tahmini 42 milyon dolarlık hasılatın yaklaşık 9,6 milyon doları, Circle'ın Zincirler Arası Transfer Protokolü kullanılarak Arbitrum'dan Ethereum'a köprülendi ve bir kısmı hızla $DAI'ye dönüştürüldü. 🚨ALERT🚨Sistemimiz @GMX_IO ile ilgili şüpheli bir işlem tespit etti. @TornadoCash aracılığıyla finanse edilen bir adres tarafından dağıtılan kötü amaçlı bir sözleşme, Arbitrum ( #$ARB ) ağında yaklaşık 42 milyon dolar değerinde varlığı istismar etti - bunlar arasında: $ETH , $USDC , $fsGLP , $DAI , $UNI ,… pic.twitter.com/x3B5OFMcyP Çekilen varlıklar arasında $ETH, $USDC, fsGLP, $DAI, $UNI, FRAX, $USDT, WETH ve $LINK bulunuyordu ve bu da hem yerel hem de sentetik token'ları kapsayan çok varlıklı bir saldırıydı. Saldırıdan önce, $GMX'in V1 sözleşmeleri en iyi denetim firmaları tarafından incelendi. Quantstamp'ın dağıtım öncesi denetimi, yeniden giriş ve erişim kontrolleri gibi temel riskleri değerlendirirken, ABDK Consulting ek stres testleri yaptı. Ancak denetimlerin hiçbiri, bu istismarı mümkün kılan belirli kaldıraç manipülasyonu vektörünü işaretlemedi. Gözetim, DeFi güvenliğinde yinelenen bir kör noktayı vurguluyor: denetimler genel güvenlik açıklarına odaklanma eğilimindedir, ancak genellikle protokole özgü mantık hatalarını kaçırır. İronik bir şekilde, $GMX'in 5 milyon dolarlık bir hata ödül programı ve Guardian Audits gibi firmalar tarafından aktif izleme dahil olmak üzere proaktif güvenlik önlemleri vardı. Bu istismar sadece $GMX'i baltalamakla kalmıyor, aynı zamanda denetim odaklı güvenlik paradigmasını bir bütün olarak şüpheye düşürüyor. $GMX kadar olgun ve savaşta test edilmiş bir protokol, bir mantık hatası nedeniyle 40 milyon dolar kaybedebiliyorsa, daha az incelenen projeler için sonuçları derinden endişe vericidir. Bu arada, $GMX'in saldırgana zincir üstü çağrısı, fonların iadesi için %10 ödül teklif etmesi, DeFi'nin acımasız gerçeğinin altını çiziyor: kurtarma çabaları genellikle saldırganlarla müzakere etmeye dayanıyor.