GMX V1 пострадал от уязвимости на 40 миллионов долларов и запустит план компенсации

【区块律动】11 июля GMX официально опубликовал отчет о взломе GMX V1 на Arbitrum, в результате которого было похищено около 40 миллионов долларов. Злоумышленник напрямую вызвал функцию increasePosition контракта Vault через реентерацию, обойдя контракты PositionRouter и PositionManager (которые обычно отвечают за расчет средней цены шорта). Путем манипуляций злоумышленник снизил среднюю цену шорта BTC с 109,505.77 долларов до 1,913.70 долларов. Используя срочные займы, злоумышленник купил GLP по нормальной цене 1.45 долларов, открыв позицию на 15 миллионов долларов. Из-за манипулированной цены цена GLP была повышена до 27 долларов и более, злоумышленник выкупил GLP по высокой цене, получив прибыль. GMX подтвердил, что V2 не имеет подобных уязвимостей.

Следующий план по финансам: остаток GLP в пуле составляет около 3,6 миллиона долларов, зарезервированных для непокрытых позиций. Расходы на GLP V1 на Arbitrum за эту неделю составляют около 500 тысяч долларов (за вычетом 30% распределяемых среди стейкеров GMX), которые будут переведены в DAO-казначейство для компенсации. Будет отключено создание и выкуп GLP на Arbitrum (выкуп будет отключен, необходимо ждать 24 часа Timelock). Отключено создание GLP на Avalanche, но функция выкупа будет сохранена. Включены закрытия позиций V1 на Arbitrum и Avalanche, создание позиций отключено для предотвращения повторного возникновения уязвимостей. Отменены заказы V1 на Arbitrum и Avalanche. Остаток средств GLP на Arbitrum будет распределён в компенсационный пул для использования пострадавшими держателями GLP.

После завершения вышеуказанных шагов GMX DAO обсудит дальнейшие меры компенсации. Рекомендуется всем форкам GMX V1 немедленно принять меры, а торговлю и выпуск токенов, подобных GLP, вновь активировать только после исправления и аудита.