Bir kripto para hackerı, GMX merkeziyetsiz ticaret platformuna çalınan $40,5 milyon değerindeki dijital varlığı 48 saat içinde iade etti ve yaklaşık $4,5 milyonluk ödül ödemesini kabul etti. Güvenlik uzmanları, büyük bir blockchain sömürüsüne olağanüstü hızlı bir çözüm olarak bunu tanımlıyor.
Bilmeniz Gerekenler:
- Hacker, 9 Temmuz'da GMX'in akıllı sözleşmelerini kullanarak yaklaşık $42 milyon çalmak için token fiyatlarını manipüle eden bir yeniden giriş saldırısı gerçekleştirdi
- GMX, fonlar 48 saat içinde iade edilirse hiçbir yasal yaptırım olmaksızın %10 “beyaz şapka” ödülü teklif etti
- Saldırgan, yaklaşık $4,5 milyon civarında bir ödülü elinde tutarken, kalan $40,5 milyon kripto para varlığını iade etti
Teknik Sömürü Akıllı Sözleşme Açığını Ortaya Koyuyor
Saldırı, GMX'in Versiyon 1 protokolünü, hatalı akıllı sözleşme mimarisini kullanan karmaşık bir yeniden giriş istismarı yoluyla hedef aldı. GMX’in otopsi raporuna göre, hacker, aynı işlem içinde birden fazla çağrıyı engelleyemeyen bir sözleşme işlevini manipüle etti.
Bu teknik zayıflık, saldırganın GMX'in likidite sağlayıcı token'ı GLP'nin fiyatını yapay olarak şişirmesine olanak tanıdı.
İstismar, suçlunun bir işlem içinde birden fazla çağrı yapmasına ve sözleşmenin yanlış bakiyeler hesaplamasına neden oldu ve çeşitli dijital varlıkların çalınmasını kolaylaştırdı.
Çalınan kripto paralar arasında Wrapped Bitcoin (WBTC), Legacy Frax Dollar (FRAX) ve DAI stablecoin vardı. Hacker, fonları Arbitrum ağından Ethereum ana ağına taşıdı. FRAX dışındaki tüm varlıklar 11,700 ETH tokenine dönüştürüldü.
Hızlı Müzakere Benzeri Görülmemiş Bir İadeye Yol Açtı
GMX'in güvenlik ekibi, zincir üzerinde bir mesaj yayınlayarak %10 beyaz şapka ödülü teklifinde bulunarak ihlale hızlı bir şekilde yanıt verdi. Teklif 48 saatlik bir süre tanıyordu ve faili hakkında herhangi bir yasal işlem yapılmayacağı garanti edildi.
Hacker’ın yanıtı blockchain mesajlaşması ile geldi: “Tamam, fonlar daha sonra iade edilecek.” İade süreci, GMX'in Güvenlik Komitesi Multisig adresine doğrudan gönderilen $10,49 milyon FRAX tokeni ile başladı.
Daha önce ETH'ye dönüştürülen kalan $32 milyon, çeşitli dilimlerde iade edildi. Olay sırasında Ethereum fiyatının artışı nedeniyle ETH varlıkları $35 milyon değere yükselmişti. Hacker, fiyat hareketlerinden elde ettiği $3 milyon karı elinde tutarken, orijinal çalma miktarını iade etti.
Platform Kurtarımı ve Piyasa Tepkisi
GMX, daha yeni Version 2 protokolünün saldırıya olanak tanıyan zayıflıktan etkilenmediğini doğruladı. Platform, GMX V2'nin Arbitrum ve Avalanche ağlarında çalıştığı likidite tokenleri için basım sınırlarını kaldırdı.
GMX yerel tokeni, fon iadesi haberini takiben başlangıç kayıplarından kurtuldu. CoinMarketCap'ten alınan piyasa verilerine göre, varlık ticaret değerinde %13'ten fazla kazandı.
Güvenlik analistleri, olayın merkeziyetsiz finans protokollerinde devam eden riskleri gösterdiğini, ancak gönüllü fon iadelerini teşvik etmede ödül programlarının potansiyel etkinliğini de sergilediğini belirtti.
Son Düşünceler
GMX olayı, büyük bir kripto para hırsızlığının ödül müzakeresi yoluyla gönüllü olarak fon iadesiyle sonuçlandığı nadir vakalardan birini temsil ediyor. $40,5 milyonluk iade, GMX'in %10 ödül teklifi ile kolaylaştırılarak, blockchain güvenlik ihlallerine yönelik geleneksel yasal cezaların ötesinde alternatif bir yaklaşımı ortaya koyuyor.