حمله بزرگ هکری به استخر GMX در آربیتروم: سرقت ۴۲ میلیون دلار و سوالات جدی درباره امنیت دیفای

در حالی که نظارت‌های گسترده‌ای بر روی قراردادهای هوشمند انجام شده است، هک بزرگ در استخر GMX نسخه اول (V1 GLP) بیش از ۴۰ میلیون دلار ضرر برجای گذاشت. این رخداد، که در قالب یک نفوذ جسورانه صورت گرفت، باعث توقف عملکرد لوریج و توقف فعالیت‌های مربوط به mint و redeem در پلتفرم‌های Arbitrum و Avalanche شد.

در تاریخ ۹ ژوئیه، GMX، صرافی غیرمتمرکز فعال در حوزه معاملات اسپات و دائمی، اعلام کرد که استخر GLP نسخه اول در شبکه Arbitrum مورد حمله قرار گرفته است و در نتیجه، مقدار قابل توجهی توکن‌های مختلف به یک کیف‌پول ناشناس منتقل شده است.

بر اساس اعلام این پلتفرم، این حمله ظاهراً با دستکاری مکانیزم استور GLP صورت گرفته است، اما تیم GMX تاکید کرد که این حادثه تنها محدود به نسخه اول است و تأثیری بر روی نسخه دوم (V2)، توکن GMX و سایر بازارهای مرتبط نداشته است.

تاکنون، تیم GMX جزئیات دقیقی درباره نحوه نفوذ ارائه نداده است، اما این رویداد نشان می‌دهد که حتی قراردادهای هوشمند مورد تایید و با بررسی‌های امنیتی، در معرض خطر قرار دارند. این حادثه پرسش‌های مهمی درباره پایداری بازارهای لوریج غیرمتمرکز، که GMX مدت‌ها یکی از بازیگران اصلی آن بوده است، مطرح می‌کند و لزوم ارتقاء امنیت در این حوزه را بیش از پیش برجسته می‌سازد.

چرا حسابرسی‌ها نتوانستند از سوءاستفاده ۴۰ میلیون دلاری در پلتفرم GMX جلوگیری کنند

در حمله‌ای که به نظر می‌رسد بسیار ساده اما در عین حال مخرب بوده، هکر توانست از طریق بهره‌برداری از ضعف در مکانیزم لورج (leverage) پروتکل GMX، بیش از ۴۰ میلیون دلار از استخر GLP نسخه اول (V1) این پلتفرم را تخلیه کند. بر اساس تحلیل‌های بلاک‌چین، این نفوذ با دستکاری در سیستم لورج و تولید توکن‌های GLP بیشتر از حد مجاز بدون وثیقه کافی انجام شده است.

پس از افزایش مصنوعی موقعیت خود، هکر با استفاده از توکن‌های جعلی GLP، دارایی‌های پایه را برداشت کرده و استخر را با ضرری بزرگ ترک کرد. در مدت کوتاهی، مبلغی معادل حدود ۹.۶ میلیون دلار از مجموع حدود ۴۲ میلیون دلار سرقت شده، از طریق پل‌های زنجیره‌ای مانند Arbitrum به اتریوم منتقل و بخش‌هایی از آن به استیبل‌کوین DAI تبدیل شد.

دارایی‌های سرقت‌شده شامل ETH، USDC، fsGLP، DAI، UNI، FRAX، USDT، WETH و LINK بودند که نشان‌دهنده نوعی حمله چند دارایی‌ای است، چرا که هم توکن‌های بومی و هم مصنوعی را هدف قرار داده است.

پیش از این، قراردادهای نسخه اول GMX توسط شرکت‌های معتبر حسابرسی شده بودند. بررسی‌های اولیه توسط Quantstamp بر ریسک‌هایی مانند reentrancy و کنترل دسترسی تمرکز داشت، در حالی که ABDK Consulting آزمایش‌های استرس بیشتری انجام داده بود. با این حال، هیچ‌کدام از این حسابرسی‌ها نتوانستند ضعف در مکانیزم لورج را که منجر به این نفوذ شد، شناسایی کنند.

این حادثه بر مشکل همیشگی در امنیت دیفای تأکید می‌کند؛ در حالی که حسابرسی‌ها معمولاً بر آسیب‌پذیری‌های کلی تمرکز دارند، اما اغلب از نقاط ضعف خاص پروتکل غافل می‌شوند. نکته جالب این است که GMX با وجود داشتن برنامه بونتی ۵ میلیون دلاری و نظارت فعال از سوی شرکت‌هایی مانند Guardian Audits، نتوانست از این حمله جلوگیری کند.

این نفوذ نه تنها اعتبار GMX را زیر سوال می‌برد، بلکه نگرانی‌هایی درباره اثربخشی رویکرد امنیت مبتنی بر حسابرسی در حوزه دیفای را افزایش می‌دهد. اگر پروتکل‌هایی با سابقه و تست‌شده مانند GMX در برابر آسیب‌پذیری‌های منطقی آسیب‌پذیر باشند، وضعیت پروژه‌های کم‌تجربه‌تر و کم‌بازرسی چه خواهد بود؟

در نهایت، پیشنهاد هکر برای بازگرداندن بخش کوچکی از دارایی‌ها با ارائه بونتی ۱۰ درصدی، نشان می‌دهد که در دنیای دیفای، بازیابی دارایی‌ها غالباً نیازمند مذاکره و چانه‌زنی با مهاجمان است.

منبع: کریپتو.نیوز