Платформа GMX сообщила о крупном взломе первой версии своего протокола (GMX V1), в результате которого неизвестный злоумышленник вывел $40 млн из пула ликвидности. Команда проекта отключила торговлю и временно остановила операции с GLP-токенами, чтобы не допустить дальнейшего ущерба.
Атака на пул ликвидности GMX V1
GMX V1 - это первая версия децентрализованной биржи GMX, развернутая в сети Arbitrum. Пострадавший пул представлял собой «корзину» цифровых активов, включая Bitcoin (BTC), Ethereum (ETH) и стейблкоины. Эти активы использовались для обеспечения ликвидности торговли с плечом на платформе.
Команда GMX подтвердила, что эксплойт затронул только GMX V1 и связанную с ним систему GLP-токенов. Актуальная версия платформы GMX V2, как и токен GMX, остались вне зоны риска.
Экстренные меры по блокировке уязвимости
Разработчики призвали всех пользователей отключить торговлю с плечом и приостановить выпуск GLP-токенов. В частности, они рекомендовали установить параметр Vault.setIsLeverageEnabled(false) или, при использовании Timelock, Timelock.setShouldToggleIsLeverageEnabled(false). Для предотвращения дальнейшего выпуска GLP нужно вручную задать maxUsdgAmount = 1 для всех токенов. Значение «0» использовать нельзя - это означает отсутствие лимита.
Одновременно с Arbitrum, выпуск и погашение GLP были приостановлены и в сети Avalanche.
Источник уязвимости
Аналитики компании SlowMist, специализирующейся на блокчейн-безопасности, обнаружили причину взлома в конструктивной уязвимости самого протокола. По их словам, злоумышленники смогли манипулировать ценой GLP-токена через искажение расчета общей стоимости активов под управлением.