A fehérkalapos ajánlat elfogadva: törleszt a GMX-hacker
A decentralizált pénzügyi világ ismét egy olyan történettel állt elő, amely egyszerre tűnik hihetetlennek és tanulságosnak. A GMX nevű népszerű derivatíva platform néhány hete egy komoly támadás áldozata lett, de most úgy tűnik, a támadó hajlandó együttműködni – sőt, már vissza is küldött egy jelentős összeget a korábban ellopott kriptóból.
Június 29-én egy ismeretlen kihasználta a GMX v1 protokolljának egy gyenge pontját az Arbitrum hálózaton, és ETH, wBTC, FRAX és DAI tokenekben összesen mintegy 40–42 millió dollárt emelt el. Bár a platform gyorsan reagált, és lezárta a v1 bizonyos funkcióit, a kár már megtörtént.
A támadás idején a GMX decentralizált tőzsdéje az Arbitrum hálózaton működve épp a népszerűsége csúcsán járt, hiszen az alacsony díjak és az order book nélküli kereskedés miatt sokan a következő nagy DeFi-projektként tekintettek rá, ami még sebezhetőbbé tette a platformot az ilyen típusú célzott támadásokkal szemben.
A GMX azóta többször hangsúlyozta, hogy a v2 protokoll – amely már kifinomultabb kockázatkezeléssel működik – nem volt érintett. A cél az volt, hogy megakadályozzák a további veszteségeket, és kapcsolatot teremtsenek a támadóval.
Tárgyalás a blokkláncon
A GMX nem szokványos módszerhez nyúlt: fehérkalapos ajánlatot tett a hackernek. Ez azt jelentette, hogy ha a támadó hajlandó visszajuttatni a zsákmány 90%-át, megtarthatja a fennmaradó 10%-ot hibajutalomként – vagyis „white hat bounty”-ként. Ez a gesztus egyfajta alkuként is értelmezhető, amellyel a platform próbálta elérni, hogy legalább részleges kármentés történjen. Ez egyre elfogadottabb eljárás a DeFi szektorban, ahol a cél gyakran a károk csökkentése és a pénzeszközök visszaszerzése, nem feltétlenül a bosszú vagy a pereskedés.
Az üzenetben a GMX világosan jelezte: ha a hacker visszajuttatja az ellopott kriptopénz 90 százalékát a megadott tárcacímekre, megtarthatja a maradék 10 százalékot, mintegy fehérkalapos hibajutalomként.
A GMX a nyilvános üzenetváltás során így fogalmazott:
Ön sikeresen végrehajtotta az exploitot; az ezzel kapcsolatos képességei nyilvánvalóak bárki számára, aki az exploit tranzakciókat vizsgálja. Az 5 millió dolláros fehérkalapos hiba fejpénz továbbra is elérhető.
A válasz nem is késett sokáig – a hacker ugyanis egy blokklánc-tranzakcióba írt üzenettel jelezte:
ok, funds will be returned later
(azaz: „oké, a pénzt később visszaküldöm”).
Ez az üzenet – a maga egyszerűségével – nagy port kavart a kriptós közösségben. Nem mindennapi, hogy egy több tízmilliós támadás után ilyen direkt és nyilvános „ígéret” hangzik el.
A támadó egy onchain üzenetben jelezte szándékát, a tranzakció bemeneti mezőjében egyszerűen annyit írt: „ok, funds will be returned later”. Ezt követően megindultak a visszautalások.
A pénz visszafolyik
Körülbelül egy órával a GMX blokkláncra küldött üzenete után az ismeretlen támadó megkezdte a visszautalásokat. Először több mint 9 millió dollár értékű Ether érkezett vissza arra az Ethereum-címre, amelyet a GMX csapat hivatalosan is megjelölt a kommunikációban. Ezután két külön tranzakcióban összesen mintegy 10,5 millió dollár értékű FRAX stablecoint is visszautalt, ezzel nagyjából 20 millió dollárnyi kriptoeszközt juttatva vissza az eredeti tulajdonoshoz.
Bár ez még mindig nem fedi a teljes, 40 millió dollár feletti kárt, a GMX szerint a white hat bounty ajánlat érvényben marad, és remény van arra, hogy a hacker a további összegeket is visszajuttatja.
Miért számít ez az eset?
A decentralizált pénzügyi ökoszisztéma számára ez az eset fontos precedenst jelenthet. Megmutatja, hogy egy ilyen támadás után sem feltétlenül a teljes elvesztés az egyetlen forgatókönyv. A white hat bounty, vagyis a „jutalmazott jóvátétel” modellje működőképes lehet – legalább részben.
A GMX esete ugyanakkor emlékeztet arra is, hogy a DeFi projekteknek soha nem szabad alábecsülniük a támadási felületeiket, még akkor sem, ha a protokoll már kifutóban van. A v1-es rendszer sérülékenysége egy évek óta működő, megbízhatónak hitt kódban rejtőzött.
A történet ezzel még nem ért véget, de már most egyértelmű: a visszafizetett összeg nem csak anyagi enyhülést jelent, hanem a közösségi bizalom megerősítését is.