GMX發出警告:平台初始版本遭到攻擊
GMX,一個專注於永續合約交易的跨鏈去中心化交易所,於週三警告其平台的初始版本遭到利用。
約4000萬美元的代幣從GMX V1中被 siphoned,該版本於2021年在以太坊層-2擴展網絡Arbitrum上首次推出,轉移至一個未知的錢包,GMX在X上表示。作為回應,GMX V1的交易被禁用,並且在Arbitrum和層-1網絡Avalanche上禁用了GMX的GLP代幣的鑄造和贖回,GMX表示。
根據加密數據提供商CoinGecko的數據,GMX最近的交易價格約為11.19美元,過去一天內下跌近21%。GMX的GLP代幣旨在讓購買者通過有效提供流動性來賺取來自用戶在交易所活動的以太坊或Avalanche的費用。
投資者可以通過GMX的網站用比特幣和以太坊兌換GLP代幣,這些資金隨後被集中在一起。理論上,GLP持有者可以將代幣賣回GMX以獲得流動性池中的資產,但大多數資金在週三消失。
根據GMX網站上的儀表板,這包括約1000萬美元的比特幣、1000萬美元的Circle的USDC穩定幣、850萬美元的以太坊、約100萬美元的Tether的USDT穩定幣,以及相當數量的Uniswap和Chainlink代幣。
隨著GLP流動性池中的資金在週三驟降,GLP代幣的供應量卻增加了。負責TAC開發者關係的Suhail Kakar在X上寫道,這次攻擊似乎是一種“重入”攻擊,利用了鑄造GLP代幣的邏輯。
“攻擊者可以欺騙合約認為他們沒有提取任何資金——並重複使用相同的基礎資金鑄造更多代幣,”Kakar解釋道。“這不是一次突襲式的掠奪,而是一個長期規劃的精準打擊。”
Kakar與區塊鏈安全和數據分析公司PeckShield指出,攻擊者的錢包在幾天前通過Tornado Cash進行了資金注入,該以太坊幣混合器因被美國政府指控用於洗錢而受到制裁。
GMX在X上建議用戶禁用杠桿交易和GLP鑄造。PeckShield表示,該漏洞可能適用於GMX的分叉版本,並敦促他們也要提高警惕。
重入漏洞允許攻擊者將多個調用——或與智能合約的交互,該合約包含驅動去中心化應用的代碼——壓縮到單個功能中,欺騙智能合約計算不正確的餘額。其中一個最突出的例子是2016年以太坊上5500萬美元的DAO黑客事件。
週三的攻擊與Bybit在二月損失的14億美元不同,後者是因為開發者的工作站被入侵,最終導致了迄今為止最大的加密黑客事件。
在GMX的官方Telegram頻道中,一些用戶對GLP代幣投資者是否會獲得退款表示疑問。GMX在X上表示,計劃在項目的調查完成後發布詳細的後續報告。
在發送給攻擊者的鏈上消息中,GMX提供了一個“10%白帽獎金”,相當於400萬美元。項目敦促“迅速且道德的解決方案”,表示如果“資金在48小時內歸還”,將不會進一步採取法律行動。