今週初めにGMXのV1契約から4000万ドル以上を奪った攻撃者が資金を返却し始めており、プロジェクトの500万ドルのホワイトハット報酬を受け入れたことを示唆しています。
最初の兆候は金曜日にオンチェーンメッセージを通じて届いた:「大丈夫です、資金は後で返されます。」
数時間後、1,050万ドル以上のFRAXがGMXのデプロイアウォレットに送られました。セキュリティ会社PeckShieldがこの返還を警告し、これは始まりに過ぎないようで、さらなる資金の流入が予想されています。
GMXは現在$13.15で取引されており、過去24時間で13%上昇しました。
その後、4000万ドル以上のさまざまなトークンがGMXセキュリティ委員会のマルチシグアドレスに返還されたとLookonchainが指摘しました。
この侵害は、今年最大のDeFiの悪用の一つであり、GMXのGLPプールをArbitrumで標的にしました。これはOrderBook契約の再入可能性の欠陥を悪用し、攻撃者がBTCのショートポジションを操作し、GLPの評価を膨らませ、USDC、WBTC、WETH、FRAXで大きな利益を得ることを可能にしました。
再入可能性は、悪用者がプロトコルを繰り返し呼び出して資産を盗むことによってスマートコントラクトを騙すことを可能にする一般的なバグです。呼び出しは、スマートコントラクトアドレスがユーザーのウォレットアドレスと対話することを許可します。
GMXは、ArbitrumとAvalancheの両方でV1取引とミントを停止することによって対応しました。盗まれた資金の10%以上に相当する報酬が提供され、48時間以内に全額が返還されれば法的追及は行わないという約束がされました。ハッカーは金曜日の欧州の朝の時点でこれに従っているようです(。
コメントを見る
