- Rubrique
64k Popularité
21k Popularité
6k Popularité
4k Popularité
4k Popularité
29k Popularité
16k Popularité
22k Popularité
12k Popularité
2k Popularité
- Épingler
64k Popularité
21k Popularité
6k Popularité
4k Popularité
4k Popularité
29k Popularité
16k Popularité
22k Popularité
12k Popularité
2k Popularité
GMX a annoncé avoir été piraté pour un montant de 42 millions de dollars : une "vulnérabilité de réentrance" exploitée par des hackers, comment indemniser les utilisateurs ?
Le 10 juillet au soir, heure de Taïwan, la plateforme d'échange centralisée de contrats perpétuels GMX a publié un rapport détaillé sur la plateforme X après avoir été volée de 42 millions de dollars le 9 juillet, révélant les causes fondamentales de cette attaque, les mesures d'urgence initiales et les plans futurs. (Résumé : GMX n'a pas seulement perdu de l'argent, mais aussi sa position) (Contexte : Analyse approfondie des six principaux protocoles de dérivés en chaîne : GMX, Synthetix…) La plateforme d'échange décentralisée de contrats perpétuels GMX a été attaquée le 9 juillet sur Arbitrum, subissant des pertes allant jusqu'à 42 millions de dollars. Le 10 juillet au soir, heure de Taïwan, GMX a publié un rapport détaillé sur la plateforme X, révélant les causes fondamentales de cette attaque, les mesures d'urgence initiales et les plans futurs. Raisons de l'attaque selon GMX Selon le rapport officiel de GMX, cette attaque s'est produite le 9 juillet 2025 à 12h30 (UTC). Les attaquants ont exploité une vulnérabilité de « ré-entrée » dans le contrat GMX V1 sur Arbitrum, appelant directement la fonction increasePosition dans le contrat Vault, contournant ainsi le mécanisme de calcul du prix moyen des positions courtes par le contrat PositionRouter et le contrat PositionManager. Les attaquants ont manipulé le prix moyen des positions courtes de BTC de 109 505,77 dollars à 1 913,70 dollars, et ont utilisé un prêt flash pour acheter GLP (jeton de liquidité GMX) à 1,45 dollar, ouvrant une position d'une valeur de 15,38 millions de dollars, et ont finalement poussé le prix du GLP au-dessus de 27 dollars, réalisant des profits énormes. Le rapport indique que le point d'entrée de l'attaque se trouvait dans une fonction du contrat OrderBook. Bien que cette fonction ait un modificateur nonRentrant, elle ne peut empêcher que les ré-entrées au sein du même contrat, mais ne peut pas bloquer les attaques inter-contrats. À cet égard, GMX a rapidement pris des mesures après avoir découvert la vulnérabilité, suspendant les échanges sur Avalanche pour éviter d'aggraver les pertes, et contactant Arbitrum, les plateformes d'échange, les protocoles de pont et les émetteurs de stablecoins (comme Circle, Tether, Frax) pour suivre les fonds volés, tout en communiquant avec les attaquants via des messages en chaîne. De plus, GMX a confirmé que GMX V2 ne présente pas de vulnérabilité similaire, car le calcul du prix moyen des positions courtes et l'exécution des ordres se font dans le même contrat. Prochaines actions Pour gérer les impacts post-attaque et protéger les droits des utilisateurs, GMX a proposé les plans concrets suivants : Allocation des fonds et préparation des indemnisations : Actuellement, il y a environ 3,6 millions de dollars de jetons dans le pool GLP, conservés en raison des positions non clôturées. Les frais de V1 GLP sur Arbitrum s'élèvent à environ 500 000 dollars (après déduction des frais de 30 % pour la conversion automatique en GMX) et seront transférés dans le trésor du DAO GMX pour indemniser les détenteurs de GLP affectés. Les fonds restants de GLP sur Arbitrum seront répartis dans un fonds d'indemnisation pour que les détenteurs de GLP affectés puissent faire une demande. Désactivation de la minting et du rachat de GLP : La minting et le rachat de GLP sur Arbitrum seront désactivés. La minting de GLP sur Avalanche sera désactivée, mais la fonction de rachat restera ouverte, permettant aux utilisateurs de gérer leurs actifs de manière flexible. Gestion des positions et des ordres : Après la désactivation du rachat de GLP sur Arbitrum, la fonction de clôture des positions V1 sur Arbitrum et Avalanche sera activée, permettant aux utilisateurs de fermer les positions existantes. Cependant, la fonction d'ouverture de positions V1 ne sera pas activée pour éviter que des attaques similaires ne se reproduisent. Les ordres V1 existants sur Arbitrum et Avalanche ne seront plus exécutés, et les utilisateurs devront annuler eux-mêmes tous les ordres V1. Discussions sur la gouvernance à venir : Le DAO GMX lancera des discussions de gouvernance pour planifier des mesures d'indemnisation supplémentaires, garantissant une distribution équitable des fonds restants et élaborant des stratégies de prévention à long terme. Soutien à la mise en jeu de esGMX : Sur Arbitrum et Avalanche, les utilisateurs utilisant GLP pour mettre en jeu esGMX peuvent continuer à le faire. Les utilisateurs sur Avalanche peuvent racheter GLP à tout moment, mais si GLP n'est pas utilisé pour la mise en jeu, il est conseillé de procéder au rachat. Recommandations pour les forks de GMX V1 : GMX exhorte tous les projets de forks V1 à prendre deux mesures pour prévenir des attaques similaires : 1) désactiver la fonction de levier ; 2) limiter la minting de GLP. Informations connexes : Le plus grand baleine de GMX short 12 millions de dollars ETH ! A perdu 75 % et fait face à une liquidation. Compound III lancé sur Arbitrum, soutenant le prêt d'ARB, GMX, WETH, WBTC contre USDC. Le projet étoile en croissance MUX, sera-t-il le tueur de GMX ? <GMX annonce un rapport sur le vol de 42 millions de dollars : « La vulnérabilité de ré-entrée » exploitée par les hackers, comment indemniser les utilisateurs ? > Cet article a été initialement publié sur BlockTempo, le média d'information blockchain le plus influent.