Phân tích ban đầu của chúng tôi chỉ ra rằng tài khoản người giữ lệnh của GMX (0xd4266f8f82f7405429ee18559e548979d49160f3) đã phát hành một giao dịch, giao dịch này chuyển một địa chỉ hợp đồng làm tham số đầu tiên của executeDecreaseOrder, sau đó kẻ tấn công đã lợi dụng khả năng tái nhập để thực hiện cuộc tấn công.