Хакер криптовалюты вернул $40,5 млн украденных цифровых активов на децентрализованную торговую платформу GMX в течение 48 часов после первоначальной атаки, приняв выплату награды в размере приблизительно $4,5 млн в рамках беспрецедентного быстрого разрешения серьезной уязвимости блокчейна, по мнению экспертов по безопасности.
Что нужно знать:
- Хакер использовал смарт-контракты GMX 9 июля, украв около $42 млн через атаку повторного входа, которая манипулировала ценами токенов
- GMX предложил 10%-ную награду "белому хакеру" без юридических последствий, если средства будут возвращены в течение 48 часов
- Атакующий оставил себе примерно $4,5 млн в качестве выплаты награды, вернув оставшиеся $40,5 млн в криптовалютных активах
Эксплойт выявляет уязвимость смарт-контракта
Атака была нацелена на протокол GMX версии 1 через сложный эксплойт повторного входа, который воспользовался недостатком архитектуры смарт-контракта. Согласно посмертному отчету GMX, хакер манипулировал функцией контракта, которая не смогла предотвратить множественные вызовы в рамках одной операции.
Эта техническая уязвимость позволила атакующему искусственно завысить цену GLP, токена провайдера ликвидности GMX.
Эксплойт позволил злоумышленнику выполнять множественные вызовы в одной функции, из-за чего контракт рассчитывал неправильные балансы и способствовал краже различных цифровых активов.
Украденные криптовалюты включали в себя Wrapped Bitcoin (WBTC), Legacy Frax Dollar (FRAX) и DAI stablecoin. Затем хакер переместил средства с сети Arbitrum на основную сеть Ethereum. Все активы, кроме FRAX, были конвертированы в 11700 ETH токенов.
Быстрая сделка ведет к беспрецедентному возврату
Команда безопасности GMX быстро отреагировала на нарушение, опубликовав сообщение в блокчейне с предложением 10%-ной награды белому хакеру. Предложение включало 48-часовой срок и гарантировало отсутствие юридических действий против злоумышленника.
Ответ хакера пришел через сообщение в блокчейне: "Ок, средства будут возвращены позже." Процесс возврата начался с передачи $10,49 млн в токенах FRAX напрямую на адрес Multisig комитета безопасности GMX.
Оставшиеся $32 млн, ранее конвертированные в ETH, были возвращены несколькими партиями. Из-за повышения цены Ethereum во время инцидента, инвестиции в ETH увеличились в стоимости до $35 млн. Хакер сохранил $3 млн прибыли от изменения цен при возврате первоначальной суммы кражи.
Восстановление платформы и рыночная реакция
GMX подтвердил, что его новая версия протокола V2 не пострадала от уязвимости, позволившей атаковать. Платформа сняла ограничения на создание токенов ликвидности для GMX V2, работающих в сетях Arbitrum и Avalanche.
Родной токен GMX восстановился от начальных потерь после новостей о возвращении средств. Рыночные данные CoinMarketCap показали, что актив увеличился в торговой стоимости более чем на 13%.
Аналитики по безопасности отметили, что инцидент подчеркивает продолжающиеся риски в децентрализованных финансовых протоколах, демонстрируя потенциальную эффективность программ наград в стимулировании добровольного возврата средств.
Заключительные мысли
Инцидент GMX представляет собой редкий случай, когда крупное воровство криптовалюты привело к добровольному возврату средств через переговоры о награде. $40,5 млн, возвращенные благодаря предложению GMX о 10%-ной награде, демонстрируют альтернативный подход к решению проблем безопасности блокчейна, который выходит за рамки традиционных юридических мер.