- Topik
63k Popularitas
21k Popularitas
7k Popularitas
4k Popularitas
4k Popularitas
29k Popularitas
16k Popularitas
22k Popularitas
12k Popularitas
2k Popularitas
- Sematkan
63k Popularitas
21k Popularitas
7k Popularitas
4k Popularitas
4k Popularitas
29k Popularitas
16k Popularitas
22k Popularitas
12k Popularitas
2k Popularitas
GMX mengumumkan laporan peretasan senilai 42 juta dolar AS: "Celahan reentrancy" dimanfaatkan oleh peretas, bagaimana cara mengganti rugi pengguna?
Pada malam tanggal 10 Juli waktu Taiwan, bursa perdagangan berjangka terpusat GMX merilis laporan rinci di platform X setelah mengalami pencurian sebesar 42 juta USD pada tanggal 9 Juli. Laporan ini mengungkapkan penyebab fundamental dari serangan tersebut, langkah-langkah awal yang diambil, dan rencana selanjutnya. (Ringkasan sebelumnya: yang dicuri dari GMX tidak hanya uang, tetapi juga posisinya) (Latar belakang: Analisis mendalam》Perbandingan enam protokol derivatif on-chain: GMX, Synthetix…) Bursa perdagangan berjangka terdesentralisasi GMX yang sudah lama berdiri mengalami serangan hacker pada 9 Juli di V1 yang dikerahkan di Arbitrum, dengan kerugian mencapai 42 juta USD. Pada malam tanggal 10 Juli waktu Taiwan, GMX merilis laporan rinci di platform X, mengungkapkan penyebab fundamental dari serangan tersebut, langkah-langkah awal yang diambil, dan rencana selanjutnya. Alasan GMX diserang Menurut laporan resmi GMX, serangan ini terjadi pada 9 Juli 2025 pukul 12:30 (UTC), di mana penyerang memanfaatkan celah "serangan re-entrancy" di GMX V1 di Arbitrum, yang secara langsung memanggil fungsi increasePosition dalam kontrak Vault, melewati mekanisme perhitungan harga rata-rata posisi short yang dilakukan oleh kontrak PositionRouter dan PositionManager. Penyerang memanipulasi harga rata-rata posisi short BTC dari 109,505.77 USD menjadi 1,913.70 USD dan menggunakan Pinjaman Flash untuk membeli GLP (Token LP GMX) seharga 1.45 USD, membuka posisi senilai 15.38 juta USD, dan akhirnya mendorong harga GLP di atas 27 USD untuk merealisasikan keuntungan besar. Laporan tersebut menunjukkan bahwa titik masuk serangan terletak pada suatu fungsi dalam kontrak OrderBook, meskipun fungsi tersebut memiliki modifier nonReentrant, tetapi hanya dapat mencegah re-entrancy dalam kontrak yang sama, tidak dapat menghentikan serangan antar kontrak. Terkait hal ini, GMX segera mengambil tindakan setelah menemukan celah tersebut, dengan menghentikan perdagangan di Avalanche untuk mencegah kerugian lebih lanjut, dan menghubungi Arbitrum, bursa, protokol bridge, dan penerbit stablecoin (seperti Circle, Tether, Frax) untuk melacak dana yang dicuri, serta berkomunikasi dengan penyerang melalui pesan on-chain. Selain itu, GMX lebih lanjut mengonfirmasi bahwa GMX V2 tidak memiliki celah serupa, karena perhitungan harga rata-rata shortnya dilakukan dalam kontrak yang sama dengan pelaksanaan pesanan. Langkah-langkah selanjutnya Untuk menangani dampak pasca serangan dan melindungi kepentingan pengguna, GMX mengajukan rencana konkret berikut: Alokasi dana dan persiapan kompensasi: saat ini terdapat sekitar 3.6 juta USD token di kolam GLP, yang ditahan karena posisi yang belum ditutup. Biaya V1 GLP di Arbitrum sekitar 500,000 USD (setelah mengurangi biaya otomatis konversi menjadi GMX sebesar 30%), akan dialokasikan ke kas GMX DAO untuk kompensasi pemegang GLP yang terdampak. Sisa dana GLP di Arbitrum akan dialokasikan ke kolam kompensasi untuk pemegang GLP yang terdampak untuk mengajukan klaim. Menonaktifkan pencetakan dan penebusan GLP: Pencetakan dan penebusan GLP di Arbitrum akan dinonaktifkan. Pencetakan GLP di Avalanche akan dinonaktifkan, tetapi fungsi penebusan tetap dibuka untuk memungkinkan pengguna mengelola dengan fleksibel. Manajemen posisi dan pesanan: Setelah menonaktifkan penebusan GLP di Arbitrum, fungsi penutupan posisi V1 di Arbitrum dan Avalanche akan diaktifkan, memungkinkan pengguna menutup posisi yang ada. Namun, fungsi pembukaan posisi V1 tidak akan diaktifkan untuk mencegah serangan serupa terjadi lagi. Pesanan V1 yang ada di Arbitrum dan Avalanche tidak akan dieksekusi lagi, dan pengguna harus membatalkan semua pesanan V1. Diskusi tata kelola selanjutnya: GMX DAO akan memulai diskusi tata kelola untuk merencanakan langkah-langkah kompensasi lebih lanjut, memastikan distribusi yang adil dari sisa dana dan merancang strategi pencegahan jangka panjang. Mendukung staking esGMX: Di Arbitrum dan Avalanche, pengguna yang menggunakan GLP untuk staking esGMX dapat terus melakukan staking. Pengguna di Avalanche dapat menebus GLP kapan saja, tetapi jika GLP tidak digunakan untuk staking, disarankan untuk menebusnya. Rekomendasi untuk fork GMX V1: GMX mendesak semua proyek fork V1 untuk mengambil dua langkah untuk mencegah serangan serupa: 1) Menonaktifkan fungsi leverage; 2) Membatasi pencetakan GLP. Berita terkait: Whale terbesar GMX short 12 juta USD ETH! Sudah merugi 75% menghadapi likuidasi. Compound III diluncurkan di Arbitrum, mendukung peminjaman ARB, GMX, WETH, WBTC dengan USDC. Proyek bintang yang tumbuh di pasar sebaliknya MUX, akankah menjadi pembunuh GMX?〈GMX mengumumkan laporan pencurian 42 juta USD: "Celahan re-entrancy" dimanfaatkan oleh hacker, bagaimana kompensasi pengguna?〉 Artikel ini pertama kali diterbitkan di BlockTempo, media berita blockchain paling berpengaruh.