GMX công bố báo cáo tóm tắt về cuộc tấn công lỗ hổng bảo mật trị giá 42 triệu đô la: thảo luận thêm về các biện pháp bồi thường

Tin tức BlockBeats, vào ngày 11 tháng 7, GMX đã chính thức công bố báo cáo tóm tắt về cuộc tấn công lỗ hổng GMX V1 vào Arbitrum trị giá khoảng 42 triệu đô la.

Tóm tắt sự kiện:

Kẻ tấn công đã trực tiếp gọi hàm increasePosition của hợp đồng Vault bằng cách nhập lại, bỏ qua các hợp đồng PositionRouter và PositionManager (thường chịu trách nhiệm tính toán giá bán khống trung bình);

Thông qua thao túng, kẻ tấn công đã hạ giá bán khống trung bình của BTC từ 109.505,77 đô la xuống 1.913,70 đô la;

Sử dụng các khoản vay nhanh, kẻ tấn công đã mua GLP với giá thông thường là 1,45 đô la, mở một vị thế trị giá 15 triệu đô la;

Do giá bị thao túng, giá GLP đã bị đẩy lên hơn 27 đô la và kẻ tấn công đã mua lại GLP với giá cao để kiếm lời;

GMX đã xác nhận rằng V2 không có lỗ hổng tương tự.

Tình hình tài trợ kế hoạch tiếp theo:

Nhóm GLP còn khoảng 3,6 triệu đô la, được dành cho các vị thế mở;

Phí GLP Arbitrum V1 tuần này là khoảng 500.000 đô la (trừ 30% được phân bổ cho người đặt cược GMX), số tiền này sẽ được chuyển vào kho bạc DAO để bồi thường;

Việc đúc và đổi GLP trên Arbitrum sẽ bị vô hiệu hóa (việc vô hiệu hóa đổi yêu cầu khóa thời gian 24 giờ);

Việc đúc GLP trên Avalanche bị vô hiệu hóa, nhưng chức năng đổi vẫn được giữ nguyên;

Việc đóng vị thế V1 trên Arbitrum và Avalanche được bật, và việc mở vị thế bị vô hiệu hóa để ngăn lỗ hổng tái diễn;

Các lệnh V1 trên Arbitrum và Avalanche bị hủy. Số tiền GLP còn lại trên Arbitrum sẽ được phân bổ vào nhóm bồi thường để những người nắm giữ GLP bị ảnh hưởng sử dụng.

Sau khi các bước trên hoàn tất, GMX DAO sẽ thảo luận thêm về các biện pháp bồi thường. Chúng tôi khuyến nghị tất cả các nhánh GMX V1 nên thực hiện các biện pháp ngay lập tức và cho phép giao dịch cũng như đúc token tương tự GLP sau khi sửa chữa và kiểm tra.