В результате атаки на пул GMX V1 GLP было украдено более $40 миллионов, что снова ставит под сомнение безопасность децентрализованных финансовых протоколов. Протокол приостановил торговлю после инцидента.
Суть атаки на GMX V1 GLP
9 июля 2023 года GMX подтвердил атаку на свой V1 GLP пул на платформе Arbitrum, в результате которой в одной транзакции были похищены токены на сумму более $40 миллионов. Атакующий использовал механизм GLP vault, что заставило протокол приостановить торговлю и приостановить выпуск и выкуп GLP на Arbitrum и Avalanche.
Механизм эксплуатации и последствия
Эксперты считают, что атака была осуществлена путем манипуляции механизмом плечевого кредитования для выпуска избыточных токенов GLP без должной залоговой базы. Увеличив свою позицию, злоумышленник обменял мошеннически созданные токены GLP на основные активы, оставив пул в убытке более $40 миллионов. Средства быстро перевели, использовав вредоносный контракт, финансируемый через Tornado Cash. Около $9,6 миллионов вывели с Arbitrum на Ethereum, конвертировав в DAI.
Проблемы безопасности в DeFi
Аудиты контрактов GMX были проведены ведущими фирмами, такими как Quantstamp и ABDK Consulting, но ни один из аудитов не выявил уязвимость, которая позволила использовать механизм плечевого кредитования. Это поднимает вопрос о надежности существующих методов безопасности в DeFi. Несмотря на наличие программы вознаграждения за уязвимости на $5 миллионов, атака на GMX подчеркивает, что даже самые защищенные протоколы могут быть уязвимыми к специфическим логическим ошибкам.
Атака на GMX V1 GLP палит под сомнение эффективность аудитов в области DeFi. Этот случай напоминает о рисках, с которыми сталкиваются децентрализованные финансовые протоколы, и необходимости улучшения систем безопасности.
