Tin tặc tiền điện tử cuỗm 42 triệu đô la từ nhóm thanh khoản Arbitrum của GMX giữa ban ngày

Bất chấp nhiều lớp kiểm tra kỹ lưỡng, nhóm GLP V1 của $GMX đã bị hack mất hơn 40 triệu đô la trong một vụ khai thác trắng trợn. Với các chức năng đòn bẩy hiện đã bị đóng băng, các nhà giao dịch đang tự hỏi: Làm thế nào mà các hợp đồng đã được kiểm toán lại bị bẻ khóa? Và điều này có ý nghĩa gì đối với tương lai giao dịch vĩnh viễn của DeFi? Vào ngày 9 tháng 7, sàn giao dịch giao ngay và vĩnh viễn trên chuỗi $GMX đã xác nhận rằng nhóm GLP V1 của họ trên Arbitrum đã bị khai thác, với hơn 40 triệu đô la giá trị các token khác nhau bị hút vào một ví không xác định trong một giao dịch duy nhất. Cuộc tấn công, dường như đã thao túng cơ chế kho tiền GLP, đã buộc giao thức phải tạm dừng giao dịch và tạm dừng việc đúc và quy đổi GLP trên cả Arbitrum và Avalanche. $GMX làm rõ rằng vụ vi phạm chỉ giới hạn ở V1 và không ảnh hưởng đến $GMX V2, token của nó hoặc các thị trường liên quan khác. Mặc dù nhóm $GMX vẫn chưa tiết lộ vectơ khai thác chính xác, nhưng sự cố này cho thấy sự mong manh của ngay cả các hợp đồng thông minh đã được kiểm toán và đặt ra những câu hỏi cấp bách về tính bền vững của thị trường đòn bẩy phi tập trung, nơi $GMX từ lâu đã là một người chơi thống trị. Con đường của kẻ tấn công để rút 40 triệu đô la từ nhóm GLP V1 của $GMX rất đơn giản nhưng lại có hiệu quả tàn khốc. Theo các nhà phân tích blockchain, vụ khai thác liên quan đến việc thao túng cơ chế đòn bẩy của giao thức để đúc quá nhiều token GLP mà không có tài sản thế chấp phù hợp. Khi kẻ tấn công thổi phồng vị thế của họ một cách giả tạo, họ đã quy đổi GLP được đúc gian lận để lấy tài sản cơ bản, khiến nhóm thiếu hơn 40 triệu đô la chỉ trong vài khối. Các khoản tiền không nhàn rỗi lâu. Theo Cyvers và Lookonchain, kẻ tấn công đã sử dụng một hợp đồng độc hại được tài trợ thông qua Tornado Cash để che giấu nguồn gốc của vụ khai thác. Khoảng 9,6 triệu đô la trong số 42 triệu đô la ước tính đã được chuyển từ Arbitrum sang Ethereum bằng Giao thức chuyển giao chuỗi chéo của Circle, với các phần nhanh chóng được chuyển đổi thành DAI. 🚨CẢNH BÁO🚨Hệ thống của chúng tôi đã phát hiện một giao dịch đáng ngờ liên quan đến @GMX_IO. Một hợp đồng độc hại, được triển khai bởi một địa chỉ được tài trợ thông qua @TornadoCash, đã khai thác khoảng 42 triệu đô la tài sản trên mạng Arbitrum ( #$ARB ) — bao gồm: $ETH, $USDC, $fsGLP, $DAI, $UNI,… pic.twitter.com/x3B5OFMcyP Các tài sản bị rút bao gồm $ETH, $USDC, fsGLP, $DAI, $UNI, FRAX, $USDT, WETH và $LINK, khiến đây trở thành một cuộc tấn công đa tài sản trải rộng trên cả token gốc và token tổng hợp. Trước vụ hack, các hợp đồng V1 của $GMX đã được các công ty kiểm toán hàng đầu xem xét. Cuộc kiểm toán trước khi triển khai của Quantstamp đã đánh giá các rủi ro cốt lõi như tái nhập và kiểm soát truy cập, trong khi ABDK Consulting đã tiến hành các thử nghiệm ứng suất bổ sung. Tuy nhiên, không có cuộc kiểm toán nào gắn cờ vectơ thao túng đòn bẩy cụ thể cho phép khai thác này. Sự sơ suất này làm nổi bật một điểm mù tái diễn trong bảo mật DeFi: các cuộc kiểm toán có xu hướng tập trung vào các lỗ hổng chung nhưng thường bỏ qua các lỗi logic cụ thể của giao thức. Trớ trêu thay, $GMX đã có các biện pháp bảo vệ chủ động, bao gồm chương trình tiền thưởng lỗi 5 triệu đô la và giám sát tích cực bởi các công ty như Guardian Audits. Vụ khai thác này không chỉ làm suy yếu $GMX mà còn gây nghi ngờ về mô hình bảo mật dựa trên kiểm toán nói chung. Nếu một giao thức trưởng thành và được thử nghiệm nhiều như $GMX có thể mất 40 triệu đô la vì một lỗi logic, thì những tác động đối với các dự án ít được xem xét kỹ lưỡng hơn là vô cùng đáng lo ngại. Trong khi đó, lời kêu gọi trên chuỗi của $GMX đối với hacker, đề nghị phần thưởng 10% cho việc trả lại tiền, nhấn mạnh thực tế khắc nghiệt của DeFi: các nỗ lực phục hồi thường dựa vào việc thương lượng với những kẻ tấn công.