- дата публикации
Криптобиржа GMX потерпела от хищения биткойнов и эфириумов на 40 миллионов долларов
- источник
- сайт
- decrypt.co
- открыть источник
GMX, децентрализованный обменник с возможностью торговли бессрочными фьючерсами, сообщил в среду о несанкционированном доступе к начальной версии своей платформы.
Примерно 40 миллионов долларов в токенах были украдены из GMX V1, который стартовал в сети Ethereum Arbitrum в 2021 году, на неизвестный кошелек.
В ответ торговля на GMX V1 была остановлена, а также приостановлено размещение и выкуп токена GLP в Arbitrum и сети Avalanche. На данный момент GMX торгуется примерно по 11,19 долларов, что почти на 21% меньше за сутки, согласно данным криптоаналитиков CoinGecko.
Токен GLP позволяет владельцам зарабатывать комиссии в Ethereum или Avalanche от активности пользователей обменника, предоставляя ликвидность. Инвесторы могут обменивать активы, такие как Bitcoin и Ethereum, на токены GLP через сайт GMX, а эти средства объединяются в пул.
Теоретически, держатели GLP могут продать токен обратно GMX за активы в ликвидном пуле, но большая часть этих средств была потеряна в среду. Согласно информации на сайте GMX, среди пропавших средств было около 10 миллионов долларов в Bitcoin, 10 миллионов в стейблкоине USDC, 8,5 миллиона в Ethereum, около 1 миллиона в стейблкоине USDT и значительные суммы токенов Uniswap и Chainlink. С уменьшением количества средств в ликвидном пуле GLP возросло предложение токенов GLP.
Сухайл Какар, ответственный за отношения с разработчиками в TAC, сообщил, что атака оказалась «ре-ентрансийной» атакой, злоупотреблявшей логикой выпуска токенов GLP.
Он объяснил, что злоумышленник мог заставить контракт считать, что ничего не выведено, и бесконечно выпускать новые токены, используя те же основные средства. Какар вместе с компанией PeckShield отметили, что кошелек злоумышленника был профинансирован задолго до атаки через Tornado Cash, миксер Ethereum, который ранее находился под санкциями правительства США по подозрению в отмывании денег. GMX призвал пользователей в X отключить торги с кредитным плечом и выпуск токенов GLP.
PeckShield предупредила, что уязвимость может касаться и форкованных версий GMX, призвав быть осторожными. Уязвимости ре-ентрансии позволяют злоумышленникам втиснуть несколько вызовов в один функционал, вводя в заблуждение смарт-контракт.
Среди известных примеров — кража 55 миллионов долларов в 2016 году из Ethereum. Атака в среду была отделена от потери Bybit в 1,4 миллиарда долларов в феврале, когда было скомпрометировано рабочее место разработчика, что привело к крупнейшей крипто-кражи в истории. В официальном канале GMX в Telegram некоторые пользователи спрашивали, будет ли компенсировано инвесторам токенов GLP.
На X GMX отметил, что планирует опубликовать детализированный отчет, когда расследование проекта будет завершено. В сообщении, отправленном злоумышленнику, GMX предложил «бонус за белую шляпу» в размере 4 миллионов долларов.
Призывая к «быстрому и этичному решению», проект пообещал не принимать дальнейших юридических действий, если «средства будут возвращены в течение 48 часов».