Hơn 40 triệu USD bị đánh cắp, GMX遭精准伏击始末

Tác giả | OdailyOdaily（@OdailyChina）

Tác giả | Asher（**@Asher_ 0210 ）

Tối qua, nền tảng GMX - một trong những giao thức DeFi hàng đầu trên chuỗi - đã gặp phải một sự cố bảo mật nghiêm trọng, hơn 40 triệu đô la tài sản tiền điện tử đã bị hacker đánh cắp, liên quan đến nhiều loại token chính như WBTC, WETH, UNI, FRAX, LINK, USDC, USDT. Sau sự cố, Bithumb đã phát hành thông báo cho biết dịch vụ nạp và rút của GMX sẽ tạm dừng cho đến khi mạng ổn định.

Bị ảnh hưởng bởi sự kiện bị đánh cắp này, giá trị của token GMX giảm hơn 25% trong 4 giờ, có lúc giá xuống dưới 11 đô la, hiện đang ở mức 11,8 đô la. Theo dữ liệu từ DefiLlama, TVL của GMX đã giảm từ 500 triệu đô la trước sự kiện bị đánh cắp xuống còn 400 triệu đô la, với mức giảm tạm thời lên tới 20%.

TVL của nền tảng GMX bị ảnh hưởng bởi sự cố trộm cắp, giảm xuống còn 400 triệu đô la trong thời gian ngắn.

Tiếp theo, Odaily sẽ tổng hợp nguyên nhân, phản ứng của đội ngũ và động thái mới nhất của hacker liên quan đến sự kiện GMX bị đánh cắp.

Kẻ tấn công lợi dụng lỗ hổng tái nhập

Nguyên nhân cơ bản của sự cố bị đánh cắp GMX lần này là do hàm cốt lõi executeDecreaseOrder có lỗ hổng tái nhập. Tham số đầu tiên của hàm này lẽ ra phải là tài khoản bên ngoài (EOA), nhưng kẻ tấn công đã truyền vào một địa chỉ hợp đồng thông minh, điều này cho phép kẻ tấn công có thể tái gia nhập hệ thống trong quá trình rút tiền, thao túng trạng thái bên trong, cuối cùng số tài sản rút ra vượt xa giá trị GLP mà hắn thực sự nắm giữ.

Đối tác và Giám đốc An ninh Thông tin của Slow Mist 23pds đã đăng bài trên nền tảng X cho biết, trong phiên bản GMX V1, việc thiết lập vị thế bán khống sẽ ngay lập tức cập nhật giá trung bình bán khống toàn cầu (globalShortAveragePrices), và giá này sẽ ảnh hưởng trực tiếp đến việc tính toán tổng tài sản quản lý (AUM), từ đó ảnh hưởng đến định giá và số tiền hoàn lại của token GLP.

Kẻ tấn công đã lợi dụng thiết kế của GMX khi kích hoạt chức năng timelock.enableLeverage trong quá trình thực hiện đơn hàng (đây là điều kiện tiên quyết để mở vị thế bán lớn) và đã kích hoạt lỗ hổng tái nhập của hàm executeDecreaseOrder thông qua gọi hợp đồng. Bằng cách lợi dụng lỗ hổng này, kẻ tấn công đã liên tục tạo ra vị thế bán, nâng cao giá trung bình toàn cầu của vị thế bán mà không thực sự thay đổi giá thị trường.

Do vì AUM phụ thuộc vào giá này, nền tảng đã sai lầm khi tính toán khoản lỗ ngắn hạn ảo vào tổng tài sản, dẫn đến việc định giá GLP bị thổi phồng một cách nhân tạo. Kẻ tấn công sau đó đã thông qua việc rút GLP, rút ra tài sản vượt xa phần của họ xứng đáng, đạt được lợi nhuận khổng lồ.

Ví dụ tấn công giao dịch: line= 93

GMX chính thức phản hồi: Bể thanh khoản GLP của phiên bản GMX V1 trên Arbitrum đã bị tấn công lỗ hổng, phiên bản GMX V2 không bị ảnh hưởng

Đối với sự kiện an ninh nghiêm trọng này, đội ngũ GMX đã ngay lập tức đưa ra phản hồi chính thức. Họ đã đăng bài trên nền tảng X cho biết, GLP pool của GMX V1 trên nền tảng Arbitrum đã bị tấn công lỗ hổng, khoảng 40 triệu đô la token đã được chuyển từ GLP pool sang một ví không rõ, các đối tác an ninh đã tham gia điều tra sự kiện tấn công này.

Hiện tại, nền tảng Arbitrum và Avalanche đã tắt chức năng giao dịch phiên bản GMX V1 cũng như chức năng đúc và đổi GLP để ngăn chặn bất kỳ cuộc tấn công nào tiếp theo, nhưng lỗ hổng này sẽ không ảnh hưởng đến phiên bản GMX V2 và cũng sẽ không ảnh hưởng đến chính token GMX.

Do vì phiên bản GMX V1 đã bị tấn công, người dùng có thể thực hiện các thao tác sau để giảm thiểu rủi ro:

• Tắt chức năng đòn bẩy: có thể gọi Vault.setIsLeverageEnabled (false) để tắt; nếu sử dụng Vault Timelock, thì gọi Timelock.setShouldToggleIsLeverageEnabled (false).
• Đặt maxUsdgAmounts của tất cả các token thành “1”: Sử dụng Vault.setTokenConfig hoặc Timelock.setTokenConfig để ngăn GLP được mint thêm. Lưu ý rằng giá trị này phải được đặt thành “1”, chứ không phải “0”, vì việc đặt thành 0 có nghĩa là không có giới hạn, điều này có thể dẫn đến lỗ hổng tiếp tục bị khai thác.

Theo cập nhật mới nhất, chính thức xác nhận rằng cuộc tấn công chỉ nhằm vào phiên bản GMX V1, trong khi hợp đồng phiên bản GMX V2 không áp dụng cùng một cơ chế tính toán. Nhưng vì lý do thận trọng, GMX đã cập nhật giới hạn cho các token phiên bản GMX V2 trên Arbitrum và Avalanche, vì vậy hầu hết việc phát hành token mới trong các pool thanh khoản hiện tại đều bị giới hạn, và sẽ thông báo ngay khi hạn chế này được gỡ bỏ.

Ngoài ra, dữ liệu trên chuỗi cho thấy, GMX đã để lại tin nhắn cho địa chỉ hacker rằng, thừa nhận đã gặp phải lỗ hổng phiên bản GMX Vl, sẵn sàng cung cấp 10% tiền thưởng cho hacker mũ trắng, nếu 90% số tiền còn lại được hoàn trả trong vòng 48 giờ, sẽ cam kết không thực hiện hành động pháp lý nào thêm.

GMX đã để lại tin nhắn cho địa chỉ của hacker và sẵn sàng cung cấp 10% tiền thưởng mũ trắng.

Hacker đã chuyển hơn 30 triệu đô la vào địa chỉ mới

Dựa trên dấu hiệu từ chuỗi, đây là một hành động đã được lên kế hoạch từ lâu, nguồn vốn ban đầu của hacker đã được chuyển từ giao thức trộn tiền riêng tư Tornado Cash vài ngày trước, cho thấy họ đã chuẩn bị cho cuộc tấn công này từ rất sớm.

Sau khi đánh cắp hơn 40 triệu đô la tài sản tiền điện tử, hacker đã nhanh chóng chuyển hơn 30 triệu đô la tài sản. Theo dữ liệu trên chuỗi, địa chỉ bị đánh dấu của hacker GMX (địa chỉ: 88 BTC (trị giá khoảng 9,8 triệu đô la), hơn 2200 ETH (trị giá khoảng 5,85 triệu đô la), hơn 3 triệu USDC, hơn 1,3 triệu DAI đã được chuyển đến địa chỉ mới 0x99cdeb84064c2bc63de0cea7c6978e272d0f2dae; đã chuyển hơn 4300 ETH (trị giá khoảng 11 triệu đô la) đến địa chỉ mới 0x6acc60b11217a1fd0e68b0ecaee7122d34a784c1. Tổng cộng đã chuyển hơn 30 triệu đô la tài sản đến các địa chỉ mới khác.

Tin tặc đã đánh cắp tài sản trị giá hơn 40 triệu USD

Địa chỉ hacker hiện còn 10 triệu đô la Mỹ chưa được chuyển đi.

“Thám tử trên chuỗi” ZachXBT đã đăng bài trên nền tảng X chỉ trích Circle vì không có hành động nào đối với các hành vi hack. Anh cho biết sự kiện tấn công GMX đã xảy ra từ 1 đến 2 giờ, nhưng Circle không có bất kỳ hành động nào đối với các hành vi hack. Kẻ tấn công thậm chí đã sử dụng giao thức chuyển tiền xuyên chuỗi CCTP của Circle để chuyển tiền bị đánh cắp từ Arbitrum sang Ethereum.

Tóm tắt

Sự cố bị đánh cắp lần này không chỉ phơi bày những thiếu sót chính trong việc xác thực quyền truy cập, thứ tự cập nhật trạng thái và thiết kế cơ chế đòn bẩy của phiên bản GMX V1, mà còn một lần nữa gióng lên hồi chuông cảnh tỉnh cho toàn ngành: trong các hệ thống có logic tài chính phức tạp (chẳng hạn như đòn bẩy, định giá động) và các con đường thực hiện hợp đồng đan xen, bất kỳ một lối vào nào không được bảo vệ đều có thể trở thành điểm khởi đầu cho một sự kiện thiên nga đen.

Cần lưu ý rằng các hacker đã đổi hầu hết tài sản bị đánh cắp thành các loại tiền điện tử khó bị đóng băng hơn, đặc biệt là các tài sản phi tập trung như ETH và DAI, và hoàn thành việc phân tán tiền qua nhiều địa chỉ mới, làm tăng thêm độ khó trong việc theo dõi và thu hồi. Đề xuất “10% tiền thưởng cho người tốt đổi lấy miễn trừ” của GMX cũng đã phơi bày thực trạng thiếu cơ chế pháp lý thống nhất để truy cứu trách nhiệm trong thế giới Web3 hiện nay.

Đối với các nhà phát triển DeFi, có lẽ câu hỏi cần suy nghĩ hơn không phải là “kẻ tấn công đã thực hiện như thế nào”, mà là - khi hệ thống quản lý tài sản thực của người dùng, liệu đã thiết lập đủ cơ chế để hạn chế sự xuất hiện của các con đường tấn công cực đoan nhất hay chưa. Nếu không, dù logic sản phẩm có hoàn hảo đến đâu, một khi thiếu thiết kế biên an toàn, cuối cùng cũng sẽ khó mà thoát khỏi cái giá của rủi ro hệ thống.