GMX V1 bị tấn công lỗ hổng 40 triệu USD sẽ khởi động kế hoạch bồi thường

【Khối luật động】Ngày 11 tháng 7, GMX chính thức phát hành báo cáo tổng kết sự kiện tấn công lỗ hổng khoảng 40 triệu đô la đối với GMX V1 trên Arbitrum. Kẻ tấn công đã trực tiếp gọi hàm increasePosition của hợp đồng Vault thông qua gọi lại, vượt qua hợp đồng PositionRouter và PositionManager (thường chịu trách nhiệm tính toán giá làm ngắn trung bình). Thông qua thao túng, kẻ tấn công đã đẩy giá làm ngắn trung bình của BTC từ 109,505.77 đô la xuống còn 1,913.70 đô la. Sử dụng khoản vay nhanh, kẻ tấn công đã mua GLP với giá bình thường 1.45 đô la, mở vị thế 15 triệu đô la. Do giá đã bị thao túng, giá GLP đã bị đẩy lên trên 27 đô la, kẻ tấn công đã thu lợi bằng cách chuộc GLP với giá cao. GMX đã xác nhận V2 không có lỗ hổng tương tự.

Kế hoạch tài chính tiếp theo: GLP còn lại khoảng 3,6 triệu đô la Mỹ, được dành cho các vị thế chưa đóng. Chi phí GLP V1 trên Arbitrum trong tuần này khoảng 500.000 đô la Mỹ (trừ 30% phân bổ cho những người đặt cọc GMX), sẽ được chuyển vào kho bạc DAO để bồi thường. Sẽ tắt tính năng mint và redeem GLP trên Arbitrum (tắt redeem cần chờ 24 giờ Timelock). Tắt tính năng mint GLP trên Avalanche, nhưng giữ chức năng redeem. Bật chức năng đóng vị thế V1 trên Arbitrum và Avalanche, tắt mở vị thế để ngăn ngừa lỗ hổng tái diễn. Hủy các đơn hàng V1 trên Arbitrum và Avalanche. Số tiền còn lại của GLP trên Arbitrum sẽ được phân bổ vào quỹ bồi thường, dành cho các nhà nắm giữ GLP bị ảnh hưởng.

Sau khi hoàn thành các bước trên, GMX DAO sẽ thảo luận về các biện pháp bồi thường tiếp theo. Đề nghị tất cả các nhánh GMX V1 cần ngay lập tức thực hiện các biện pháp, chờ sửa chữa và kiểm toán trước khi kích hoạt giao dịch và việc đúc các token tương tự như GLP.