Более 40 миллионов долларов было украдено, история точной атаки на GMX

Оригинал | Ежедневная газета Odaily (@OdailyChina)

Автор | Ашер(**@Asher_ 0210 )

В прошлом вечер, на ведущем DeFi-протоколе GMX произошел серьезный инцидент безопасности, в результате которого более 40 миллионов долларов криптоактивов были украдены хакерами, включая различные основные токены, такие как WBTC, WETH, UNI, FRAX, LINK, USDC, USDT. После инцидента Bithumb выпустил объявление о приостановке услуг пополнения и вывода GMX до стабилизации сети.

В результате этого кражи, токен GMX упал более чем на 25% за 4 часа, его цена на время опустилась ниже 11 долларов, в настоящее время составляет 11,8 долларов. Согласно данным DefiLlama, TVL GMX снизился с 500 миллионов долларов до 400 миллионов долларов, временное падение составило до 20%.

TVL на платформе GMX упала до 400 миллионов долларов из-за кражи.

Далее, Odaily星球日报 представляет обзор причин инцидента с кражей GMX, ответ команды и последние действия хакера.

Нападающий использует уязвимость повторного входа

Основная причина инцидента с кражей GMX заключается в наличии уязвимости повторного входа в основном методе executeDecreaseOrder. Первый параметр этого метода должен был быть адресом внешнего аккаунта (EOA), но злоумышленник передал адрес смарт-контракта, что позволило ему повторно войти в систему в процессе выкупа, манипулируя внутренним состоянием, в результате чего выкупаемые активы значительно превышали фактическую стоимость GLP, которой он обладал.

Партнёр Slow Mist и главный директор по информационной безопасности 23pds опубликовал сообщение на платформе X, в котором говорится, что в версии GMX V1 создание короткой позиции немедленно обновляет глобальную среднюю цену коротких позиций (globalShortAveragePrices), и эта цена напрямую влияет на расчет общей суммы управляемых активов (AUM), а следовательно, на оценку токенов GLP и сумму выкупа.

Атакующий использовал дизайн функции timelock.enableLeverage, активированной GMX во время выполнения заказов (что является предварительным условием для открытия крупных коротких позиций), и через вызов контракта активировал уязвимость повторного входа функции executeDecreaseOrder. Используя эту уязвимость, атакующий многократно создавал короткие позиции, искусственно увеличивая среднюю цену глобальных коротких позиций без реального изменения рыночной цены.

Поскольку AUM зависит от этой цены, платформа ошибочно включила завышенные убытки от шортов в общую сумму активов, что привело к искусственному завышению оценки GLP. Затем злоумышленник, выкупив GLP, извлек активы, значительно превышающие его долю, получив огромную прибыль.

Пример атаки на транзакцию: line= 93

Официальный ответ GMX: ликвидный пул GLP версии GMX V1 на Arbitrum подвергся атаке уязвимости, версия GMX V2 не пострадала.

В ответ на это серьезное событие в области безопасности команда GMX немедленно выпустила официальное заявление. В своем посте на платформе X они сообщили, что GLP пул GMX V1 на платформе Arbitrum подвергся атаке уязвимости, в результате которой около 40 миллионов долларов в токенах было переведено в неизвестный кошелек, и партнеры по безопасности уже участвуют в расследовании этого инцидента.

В настоящее время платформы Arbitrum и Avalanche отключили торговлю версией GMX V1, а также функции выпуска и обмена GLP, чтобы предотвратить любые дальнейшие атаки, но этот уязвимость не затрагивает версию GMX V2 и не влияет на сам токен GMX.

Поскольку версия GMX V1 была атакована, пользователи могут предпринять следующие действия для снижения рисков:

• Отключение функции плеча: можно вызвать Vault.setIsLeverageEnabled (false) для отключения; если используется Vault Timelock, то вызывайте Timelock.setShouldToggleIsLeverageEnabled (false).
• Установите maxUsdgAmounts для всех токенов на “1”: используйте Vault.setTokenConfig или Timelock.setTokenConfig, чтобы предотвратить дальнейшую эмиссию GLP. Обратите внимание, что это значение должно быть установлено на “1”, а не на “0”, так как установка на 0 означает отсутствие лимита, что может привести к продолжению эксплуатации уязвимости.

Согласно последнему обновлению, официальные лица подтвердили, что атака была направлена только на версию GMX V1, в то время как контракт версии GMX V2 не использует ту же вычислительную механику. Но в целях предосторожности GMX обновил лимиты токенов версии GMX V2 на Arbitrum и Avalanche, поэтому в настоящее время большинство новых токенов, выпускаемых в ликвидных пулах, ограничены. Об этом будет сообщено в первую очередь, как только ограничения будут сняты.

Кроме того, данные на блокчейне показывают, что GMX оставил сообщение на адресе хакера, признавая, что стал жертвой уязвимости версии GMX Vl и готов предложить 10% вознаграждения белым шляпам, если оставшиеся 90% средств будут возвращены в течение 48 часов, он обещает не предпринимать дальнейших юридических действий.

GMX оставил сообщение на адрес хакера, готов предложить 10% награды белого шляпы.

Хакеры перевели более 30 миллионов долларов на новый адрес

Судя по цепочным признакам, это была заранее спланированная акция, начальный капитал хакера был переведен из протокола смешивания конфиденциальности Tornado Cash несколько дней назад, что указывает на то, что он уже хорошо подготовился к этой атаке.

После кражи криптоактивов на сумму более 40 миллионов долларов, хакеры быстро перевели более 30 миллионов долларов активов. Согласно данным блокчейна, адрес хакера GMX (адрес: 88 BTC (стоимость около 9,8 миллиона долларов), более 2200 ETH (стоимость около 585 тысяч долларов), более 3 миллионов USDC, более 1,3 миллиона DAI переведен на новый адрес 0x99cdeb84064c2bc63de0cea7c6978e272d0f2dae; более 4300 ETH (стоимость около 11 миллионов долларов) переведен на новый адрес 0x6acc60b11217a1fd0e68b0ecaee7122d34a784c1. В общей сложности было переведено более 30 миллионов долларов на другие новые адреса.

Хакеры украли активы на сумму более 40 миллионов долларов

Текущий хакерский адрес имеет 10 миллионов долларов, которые еще не были переведены.

«Цепочечный детектив» ZachXBT опубликовал пост на платформе X, критикуя Circle за бездействие в отношении хакерских действий. Он отметил, что инцидент с атакой на GMX произошел уже 1-2 часа назад, но Circle не предпринял никаких действий против хакеров. Злоумышленники даже использовали кросс-чейн протокол передачи средств Circle (CCTP), чтобы перевести украденные средства с Arbitrum на Ethereum.

Итог

Этот инцидент кражи не только выявил ключевые недостатки в проверке прав доступа, последовательности обновлений состояния и дизайне механизмов кредитного плеча версии GMX V1, но и снова прозвучал как сигнал тревоги для всей отрасли: в системах, где переплетаются сложная финансовая логика (такая как кредитное плечо, динамическое ценообразование) и пути выполнения контрактов, любой незащищенный вход может стать отправной точкой для черного лебедя.

Стоит отметить, что хакеры обменяли большую часть украденных активов на криптовалюты, которые труднее заморозить, особенно на децентрализованные активы, такие как ETH и DAI, и распределили средства через несколько новых адресов, что еще больше усложняет отслеживание и возврат. Предложенная GMX схема «10% белой шляпы за освобождение от ответственности» также выявляет реальную проблему отсутствия единого механизма правовой ответственности в современном мире Web3.

Для разработчиков DeFi, возможно, более важным вопросом является не “как хакеры получают доступ”, а то, установлены ли достаточные механизмы для ограничения возникновения самых экстремальных путей атак, когда система управляет реальными активами пользователей. В противном случае, даже самая совершенная логика продукта, при отсутствии проектирования безопасных границ, в конечном итоге не сможет избежать ценности системного риска.