- Chủ đề
89k Phổ biến
43k Phổ biến
14k Phổ biến
4k Phổ biến
5k Phổ biến
29k Phổ biến
16k Phổ biến
23k Phổ biến
13k Phổ biến
3k Phổ biến
- Ghim
89k Phổ biến
43k Phổ biến
14k Phổ biến
4k Phổ biến
5k Phổ biến
29k Phổ biến
16k Phổ biến
23k Phổ biến
13k Phổ biến
3k Phổ biến
GMX công bố bị hack 42 triệu USD báo cáo: "Lỗ hổng tái nhập" bị hacker lợi dụng, làm thế nào để bồi thường cho người dùng?
Tối ngày 10/7, giờ Đài Loan, sau khi sàn giao dịch hợp đồng vĩnh viễn tập trung GMX bị đánh cắp 42 triệu USD vào ngày 9/7, hãng đã công bố báo cáo chi tiết về nền tảng X, tiết lộ nguyên nhân gốc rễ của cuộc tấn công, các biện pháp đối phó sơ bộ và kế hoạch tiếp theo. (Tóm tắt nội dung: GMX bị đánh cắp không chỉ tiền mà còn cả tình trạng) (Bổ sung cơ bản: phân tích chuyên sâu" so sánh sáu giao thức phái sinh trên chuỗi: GMX, Synthetix... Việc triển khai V1 của GMX trên Arbitrum đã bị tấn công vào ngày 9 tháng 7, tiêu tốn 42 triệu USD. Tối ngày 10/7, giờ Đài Loan, GMX đã công bố báo cáo chi tiết về nền tảng X, tiết lộ nguyên nhân gốc rễ của vụ tấn công, các biện pháp đối phó sơ bộ và kế hoạch tiếp theo. Theo báo cáo chính thức của GMX, cuộc tấn công xảy ra vào lúc 12:30 trưa (UTC) ngày 9 tháng 7 năm 2025 và kẻ tấn công đã khai thác lỗ hổng "tấn công tái nhập" của GMX V1 trên Arbitrum để gọi trực tiếp hàm increasePosition trong hợp đồng Vault, bỏ qua quy trình thông thường của PositionRouter và PositionManager Cơ chế mà hợp đồng tính toán giá bán trung bình. Những kẻ tấn công đã thao túng giá bán trung bình của BTC từ 109.505,77 đô la lên 1.913,70 đô la và sử dụng các khoản vay chớp nhoáng để mua GLP (mã thông báo thanh khoản GMX) ở mức 1,45 đô la, mở các vị thế trị giá 15,38 triệu đô la và cuối cùng đẩy giá GLP lên trên 27 đô la, thu được lợi nhuận khổng lồ. Báo cáo chỉ ra rằng điểm vào tấn công nằm trong một chức năng của hợp đồng OrderBook, mặc dù chức năng này có công cụ sửa đổi nonReentrant, nhưng chỉ ngăn chặn reentrant trong cùng một hợp đồng, nhưng không ngăn chặn các cuộc tấn công liên hợp đồng. Đáp lại, GMX đã hành động nhanh chóng sau khi phát hiện ra lỗ hổng, tạm dừng giao dịch trên Avalanche để tránh tổn thất thêm và liên hệ với Arbitrum, các sàn giao dịch, giao thức bắc cầu và các nhà phát hành stablecoin (ví dụ: Circle, Tether, Frax) để theo dõi số tiền bị đánh cắp, đồng thời liên hệ với những kẻ tấn công thông qua tin nhắn trên chuỗi. Ngoài ra, GMX xác nhận thêm rằng GMX V2 không có lỗ hổng tương tự, vì việc tính toán giá trung bình của phe gấu được hoàn thành trong cùng một hợp đồng với việc thực hiện lệnh. Các bước tiếp theo Để đối phó với hậu quả của cuộc tấn công và bảo vệ quyền và lợi ích của người dùng, GMX đã đề xuất các kế hoạch cụ thể sau: Phân bổ quỹ và chuẩn bị bồi thường: Hiện có khoảng 3,6 triệu đô la token trong nhóm GLP, được bảo lưu do các vị thế mở. Phí V1 cho GLP trên Arbitrum là khoảng 500.000 đô la (sau khi trừ đi 30% phí tự động chuyển đổi sang GMX) và sẽ được chuyển vào kho tiền GMX DAO để bồi thường cho những người nắm giữ GLP bị ảnh hưởng. Các quỹ GLP còn lại trên Arbitrum sẽ được phân bổ vào nhóm bồi thường cho những người nắm giữ GLP bị ảnh hưởng. Tắt đúc và đổi GLP: Đúc và đổi GLP trên Arbitrum sẽ bị vô hiệu hóa. Việc đúc GLP trên Avalanche sẽ bị vô hiệu hóa, nhưng tính năng đổi thưởng sẽ vẫn mở, cho phép người dùng xử lý linh hoạt. Quản lý vị thế và lệnh: Khi việc rút GLP trên Arbitrum bị tắt, việc đóng vị thế V1 trên Arbitrum và Avalanche được bật, cho phép người dùng đóng các vị thế hiện có. Tuy nhiên, chức năng mở của V1 sẽ không được bật để ngăn chặn các cuộc tấn công tương tự xảy ra lần nữa. Các lệnh V1 hiện có trên Arbitrum và Avalanche sẽ không còn được thực hiện và Người dùng có trách nhiệm hủy tất cả các lệnh V1. Thảo luận về quản trị tiếp theo: GMX DAO sẽ bắt đầu các cuộc thảo luận về quản trị để lập kế hoạch bồi thường thêm, đảm bảo phân phối công bằng các khoản tiền còn lại và phát triển các chiến lược giảm thiểu dài hạn. Hỗ trợ đặt cược esGMX: Trên Arbitrum và Avalanche, người dùng đặt cược esGMX bằng GLP có thể tiếp tục đặt cược. Người dùng trên Avalanche có thể đổi GLP bất cứ lúc nào, nhưng nên đổi nếu GLP không được sử dụng để đặt cược. Khuyến nghị cho các fork GMX V1: GMX kêu gọi tất cả các fork V1 thực hiện hai biện pháp để bảo vệ chống lại các cuộc tấn công tương tự: 1) vô hiệu hóa đòn bẩy; 2) Hạn chế đúc GLP. Tin liên quan Cá voi lớn nhất GMX bán khống 12 triệu ETH magiê! Đã mất 75% và đối mặt với việc thanh lý Compound III ra mắt Arbitrum, hỗ trợ thế chấp ARB, GMX, WETH, WBTC cho vay USDC Dự án ngôi sao MUX đang phát triển ngược lại thị trường sẽ là kẻ giết GMX? "GMX công bố báo cáo hack trị giá 42 triệu USD: "Lỗ hổng tái xâm nhập" bị tin tặc khai thác, làm thế nào để đền bù cho người dùng? Bài viết này được xuất bản lần đầu tiên trong "Xu hướng động - Phương tiện tin tức Blockchain có ảnh hưởng nhất" của BlockTempo.