Óriási összeget loptak el a GMX tőzsdéjéről, de a Circle nem segített zárolni a lopott coinokat
A GMX, a lejárat nélküli határidős ügyletek kereskedelmére szakosodott, több blokkláncot áthidaló decentralizált tőzsde július 9-én jelezte, hogy platformjának egy korai verziójában található sebezhetőséget rosszindulatú szereplők kihasználták. Nagyjából 40 millió dollár értékű coint (majdnem 14 milliárd forint) szipkáztak el a GMX V1-ből, amely 2021-ben debütált az Ethereum második réteges hálózatán, az Arbitrumon. A GMX az X-en posztolt az esetről és arról, hogy a coinok aztán egy ismeretlen tárcába kerültek.
Válaszul a GMX V1 használatát letiltották, ahogy a GMX GLP coinjának kibocsátását és beváltását is az Arbitrumon és az Avalanche-on. A GMX aktuálisan 11,56 dollár körül cserél gazdát, ami közel 21%-os esést jelent egyetlen nap alatt.
A GMX GLP coinját úgy tervezték, hogy a vásárlók az Ethereumon vagy az Avalanche-on szerezzenek díjakat a felhasználók tőzsdei aktivitásából azáltal, hogy ténylegesen likviditást biztosítanak. A befektetők a GMX weboldalán keresztül GLP coinokra cserélhetnek olyan eszközöket, mint a Bitcoin és az Ethereum, majd ezeket az eszközöket összevonják egy poolba. Elméletileg a GLP-tulajdonosok az ebben a likviditási poolban lévő eszközökért vissza tudják váltani a tokeneket a GMX-nek – de ezen alapok nagy része július 9-én, szerdán eltűnt. Ez körülbelül 10 millió dollár értékű bitcoint, 10 millió dollár értékű Circle USDC stabilcoint, 8,5 millió dollár értékű Ethereumot, körülbelül 1 millió dollár értékű Tether USDT stabilcoint, valamint jelentős mennyiségű Uniswap és Chainlink tokent tartalmazott a GMX weboldalán található műszerfal szerint. Ahogy a GLP likviditási poolban lévő pénzmennyiség bezuhant, a GLP tokenek kínálata megugrott.
A GMX jelentős jutalmat ígért a támadóknak
Suhail Kakar, aki a TAC Web3-as szervezet fejlesztői kapcsolatait vezeti, azt írta az X-en, hogy a támadás egy újrahívási támadásnak tűnik. Ez az okosszerződések olyan kihasználása, ahol a támadó ismételten meghív egy sebezhető függvényt, mielőtt az előző végrehajtás befejeződne, lehetővé téve számára, hogy pénzeszközöket lopjon el vagy állapotot manipuláljon. Jelen esetben valószínűleg ugyanazon tőkéért bocsátottak ki coinokat. A PeckShield blokkláncbiztonsági és adatelemző cég információi szerint a támadó tárcájába napokkal korábban a Tornado Cash-en keresztül került pénz. A GMX azt tanácsolta a felhasználóknak az X-en, hogy tiltsák le a tőkeáttételes kereskedést és a GLP-kibocsátást. A PeckShield szerint a sebezhetőség valószínűleg a GMX forkolt verzióira is vonatkozik, ezért őket is óvatosságra intette.
Ez a szerdai támadás sokban különbözik a Bybit februári 1,4 milliárd dolláros támadásától,hiszen akkor egy fejlesztő munkaállomására jutottak be a támadók. A GMX hivatalos Telegram-csatornáján belül néhány felhasználó azon elmélkedett az ügy kapcsán, hogy a GLP befektetői kapnak-e kártérítést. Az X-en a GMX közölte válaszul, hogy még vizsgálódnak. Emellett 10%-os jutalmat kínáltak fel a támadónak a pénz visszajuttatásáért. A stabilcoin-kibocsátó Circle-t az incidensre adott lassú reakciója miatt betámadták, miután elszalasztotta a lehetőséget, hogy befagyassza az ellopott pénzeszközök jelentős részét. A támadást követő egy órában a hacker több millió USDC-t hidalt át az Arbitrum hálózatról Ethereumra, mielőtt az USDC-t DAI-ra cserélte volna, amit már nem lehet befagyasztani. Az ismert blokklánc-elemző, ZachXBT is kritikus hangot ütött meg, amiért a Circle nem reagált időben. Azt állítja, hogy a hackelés után több csapattagot is riasztott perceken belül, de hiába. Mások rámutattak az 1,3 millió USDT0 gyors befagyasztására, amelyet rövid ideig birtokolt csak a támadó.
