- дата публікації
Криптобіржу GMX обікрали на 40 мільйонів доларів, знявши біткоїн та ефіріум
- джерело
- сайт
- decrypt.co
- відкрити джерело
GMX, децентралізований обмінник з можливістю торгівлі безстроковими ф’ючерсами, повідомив у середу про несанкціонований доступ до початкової версії своєї платформи.
Приблизно 40 мільйонів доларів у токенах були вкрадені з GMX V1, який стартував на мережі Ethereum Arbitrum у 2021 році, на невідомий гаманець.
У відповідь торгівлю на GMX V1 було зупинено, а також призупинено випуск і викуп токена GLP на Arbitrum та мережі Avalanche. Наразі GMX торгується приблизно по 11,19 долара, що майже на 21% менше за добу, відповідно до даних криптоаналітиків CoinGecko.
Токен GLP дозволяє власникам заробляти комісії в Ethereum або Avalanche від активності користувачів обмінника, надаючи ліквідність. Інвестори можуть обмінювати активи, такі як Bitcoin та Ethereum на токени GLP через сайт GMX, а ці кошти об’єднуються в пул.
Теоретично, тримачі GLP можуть продати токен назад GMX за активи у ліквідному пулі, але більшість цих коштів були втрачені в середу. Згідно з інформацією на сайті GMX, до зниклих коштів входили близько 10 мільйонів доларів у Bitcoin, 10 мільйонів у стейблкойні USDC, 8,5 мільйона у Ethereum, близько 1 мільйона у стейблкойні USDT та значні суми токенів Uniswap і Chainlink. Зі зменшенням кількості коштів у ліквідному пулі GLP зросла пропозиція токенів GLP.
Сухайл Какар, який відповідає за відносини з розробниками в TAC, повідомив, що атака виявилася “ре-ентрансійною” атакою, що зловживала логікою випуску токенів GLP.
Він пояснив, що злочинець міг змусити контракт вважати, що нічого не виведено, і безкінечно випускати нові токени, використовуючи ті ж основні кошти. Какар разом з компанією PeckShield зазначили, що гаманець злочинця був профінансований задовго до атаки через Tornado Cash, міксер Ethereum, який раніше був під санкціями уряду США за підозри в відмиванні грошей. GMX закликав користувачів на X відключити торгівлю з кредитним плечем і випуск токенів GLP.
PeckShield попередила, що вразливість може стосуватися й форкованих версій GMX, закликавши бути обережними. Вразливості ре-ентрансії дозволяють зловмисникам втиснути кілька викликів до одного функціоналу, вводячи в оману смарт-контракт.
Серед відомих прикладів — крадіжка 55 мільйонів доларів у 2016 році з Ethereum. Атаку в середу було відокремлено від втрати Bybit у 1,4 мільярда доларів у лютому, коли було скомпрометовано робоче місце розробника, що призвело до найбільшої крипто-крадіжки в історії. У офіційному каналі GMX у Telegram деякі користувачі запитали, чи буде компенсовано інвесторам токенів GLP.
На X GMX зазначив, що планує опублікувати детальний звіт, коли розслідування проекту буде завершено. У повідомленні, надісланому зловмиснику, GMX запропонував “бонус за білу шапку” у розмірі 4 мільйони доларів.
Закликаючи до “швидкого та етичного вирішення”, проект пообіцяв не вживати подальших юридичних дій, якщо “коштів буде повернуто протягом 48 годин”.