Plus de 40 millions de dollars volés, l'histoire de l'attaque ciblée contre GMX.

Original | Odaily日报（@OdailyChina）

Auteur | Asher（**@Asher_ 0210 ）

Hier soir, la plateforme de protocole DeFi de premier plan sur la chaîne, GMX, a subi un grave incident de sécurité, plus de 40 millions de dollars d’actifs cryptographiques ont été volés par des hackers, impliquant plusieurs jetons majeurs tels que WBTC, WETH, UNI, FRAX, LINK, USDC, USDT. Après l’incident, Bithumb a publié un communiqué annonçant que les services de dépôt et de retrait de GMX seront suspendus jusqu’à la stabilisation du réseau.

En raison de cet incident de vol, le jeton GMX a chuté de plus de 25 % en 4 heures, atteignant un prix inférieur à 11 dollars, et se négocie actuellement à 11,8 dollars. Selon les données de DefiLlama, la TVL de GMX est passée de 500 millions de dollars avant l’incident de vol à 400 millions de dollars, avec une baisse temporaire allant jusqu’à 20 %.

La TVL de la plateforme GMX a été affectée par un vol, tombant brièvement à 400 millions de dollars.

Ensuite, le journal Odaily vous présente un récapitulatif des raisons de cet incident de vol de GMX, la réponse de l’équipe et les derniers mouvements des hackers.

Les attaquants exploitent une vulnérabilité de réentrance

La cause fondamentale de cet incident de vol de GMX réside dans une vulnérabilité de réentrance dans la fonction principale executeDecreaseOrder. Le premier paramètre de cette fonction aurait dû être un compte externe (EOA), mais l’attaquant a passé une adresse de contrat intelligent, ce qui a permis à l’attaquant de réintégrer le système pendant le processus de rachat, manipulant ainsi l’état interne, et les actifs finalement rachetés dépassent de loin la valeur réelle de GLP qu’il détenait.

Le partenaire de Slow Mist et directeur de la sécurité de l’information, 23pds, a déclaré sur la plateforme X que dans la version V1 de GMX, l’établissement d’une position à découvert mettra immédiatement à jour le prix moyen des shorts globaux (globalShortAveragePrices), et ce prix influence directement le calcul de la valeur totale des actifs sous gestion (AUM), ce qui affecte ensuite l’évaluation du token GLP et le montant du rachat.

Les attaquants ont exploité la conception de GMX qui a activé la fonction timelock.enableLeverage pendant l’exécution des ordres (ce qui est une condition préalable pour ouvrir des positions de vente à découvert importantes) et ont déclenché la vulnérabilité de réentrance de la fonction executeDecreaseOrder par un appel de contrat. En utilisant cette vulnérabilité, les attaquants ont créé de manière répétée des positions de vente à découvert, augmentant artificiellement le prix moyen mondial des ventes à découvert sans réellement modifier le prix du marché.

En raison de la dépendance de l’AUM à ce prix, la plateforme a incorrectement inclus la perte à découvert gonflée dans le total des actifs, ce qui a entraîné une surévaluation artificielle du GLP. L’attaquant a ensuite réalisé un rachat de GLP, retirant des actifs largement supérieurs à sa part due, réalisant ainsi d’énormes profits.

Exemple de transaction d’attaque : line= 93

Réponse officielle de GMX : Le pool de liquidité GLP de la version V1 de GMX sur Arbitrum a été attaqué par une faille, la version V2 de GMX n’est pas impactée.

Concernant cet incident de sécurité majeur, l’équipe GMX a rapidement publié une réponse officielle. Elle a déclaré sur la plateforme X que le pool GLP de GMX V1 sur la plateforme Arbitrum avait été victime d’une attaque par faille, environ 40 millions de dollars de tokens ayant été transférés du pool GLP vers un portefeuille inconnu. Des partenaires en sécurité ont participé à l’enquête sur cet événement d’attaque.

Actuellement, les plateformes Arbitrum et Avalanche ont désactivé les transactions de la version GMX V1 ainsi que les fonctions de minting et d’échange de GLP pour prévenir toute attaque supplémentaire, mais cette vulnérabilité n’affectera pas la version GMX V2, ni le jeton GMX lui-même.

En raison de l’attaque subie par la version V1 de GMX, les utilisateurs peuvent réduire le risque en effectuant les opérations suivantes :

• Désactiver la fonction de levier : vous pouvez appeler Vault.setIsLeverageEnabled(false) pour la désactiver ; si Vault Timelock est utilisé, alors appelez Timelock.setShouldToggleIsLeverageEnabled(false).
• Définissez maxUsdgAmounts de tous les tokens sur “1” : utilisez Vault.setTokenConfig ou Timelock.setTokenConfig pour empêcher la création supplémentaire de GLP. Il convient de noter que cette valeur doit être définie sur “1” et non sur “0”, car définir sur 0 signifie qu’il n’y a pas de limite, ce qui pourrait continuer à exploiter la vulnérabilité.

Selon la dernière mise à jour, les autorités ont confirmé que l’attaque ne visait que la version GMX V1, tandis que le contrat de la version GMX V2 n’utilise pas le même mécanisme de calcul. Cependant, par souci de précaution, GMX a mis à jour le plafond des tokens de la version GMX V2 sur Arbitrum et Avalanche, de sorte que la création de nouveaux tokens dans la plupart des pools de liquidité est actuellement limitée. Cette restriction sera levée dès que possible.

De plus, les données on-chain montrent que GMX a laissé un message à l’adresse du hacker, affirmant avoir été victime d’une vulnérabilité de la version GMX Vl, et se disant prête à offrir une prime de 10 % aux hackers éthiques. Si les 90 % restants des fonds sont restitués dans les 48 heures, elle s’engage à ne pas prendre d’autres mesures légales.

GMX a laissé un message à l’adresse du hacker pour offrir une récompense de 10 % pour le chapeau blanc.

Les hackers ont transféré plus de 30 millions de dollars vers une nouvelle adresse

D’après les indices sur la chaîne, il s’agit d’une opération planifiée depuis longtemps. Les fonds initiaux des hackers ont été transférés il y a quelques jours depuis le protocole de mélange de cryptomonnaies privé Tornado Cash, indiquant qu’ils étaient déjà bien préparés pour cette attaque.

Après avoir volé plus de 40 millions de dollars d’actifs cryptographiques, les hackers ont rapidement transféré plus de 30 millions de dollars d’actifs. Selon les données en chaîne, l’adresse marquée du hacker GMX (adresse : 88 BTC (d’une valeur d’environ 9,8 millions de dollars), plus de 2200 ETH (d’une valeur d’environ 5,85 millions de dollars), plus de 3 millions de USDC, plus de 1,3 million de DAI ont été transférés vers la nouvelle adresse 0x99cdeb84064c2bc63de0cea7c6978e272d0f2dae ; plus de 4300 ETH (d’une valeur d’environ 11 millions de dollars) ont été transférés vers la nouvelle adresse 0x6acc60b11217a1fd0e68b0ecaee7122d34a784c1. Au total, plus de 30 millions de dollars de fonds ont été transférés vers d’autres nouvelles adresses.

Des hackers ont volé plus de 40 millions de dollars d’actifs.

L’adresse du hacker dispose encore de 10 millions de dollars de fonds non transférés.

« Détective on-chain » ZachXBT a publié un message sur la plateforme X critiquant Circle pour son inaction face aux actes de piratage. Il a déclaré que l’incident d’attaque de GMX s’était produit depuis 1 à 2 heures, mais que Circle n’avait pris aucune mesure contre le piratage. Les attaquants ont même utilisé le protocole de transfert inter-chaînes de Circle, CCTP, pour transférer les fonds volés d’Arbitrum vers Ethereum.

Petit résumé

Cet incident de vol a non seulement révélé des défauts clés dans la validation des autorisations des appelants, la séquence de mise à jour des états et la conception du mécanisme de levier de la version GMX V1, mais il a également de nouveau tiré la sonnette d’alarme pour l’ensemble de l’industrie : dans les systèmes impliquant une logique financière complexe (comme le levier, la tarification dynamique) et les chemins d’exécution des contrats entrelacés, n’importe quelle entrée non protégée peut devenir le point de départ d’un événement cygne noir.

Il est à noter que les hackers ont échangé la majeure partie des actifs volés contre des cryptomonnaies plus difficiles à geler, en particulier des actifs décentralisés comme l’ETH et le DAI, et ont diversifié les fonds via plusieurs nouvelles adresses, rendant encore plus difficile le suivi et la récupération. De plus, la proposition de GMX d’un “10% de récompense pour les hackers éthiques en échange d’une immunité” met également en lumière le dilemme actuel de l’absence d’un mécanisme juridique unifié pour la responsabilité dans le monde du Web3.

Pour les développeurs de DeFi, la question à se poser n’est peut-être pas “comment les hackers attaquent”, mais plutôt : lorsque le système gère les actifs réels des utilisateurs, des mécanismes suffisants ont-ils été mis en place pour limiter l’occurrence des chemins d’attaque les plus extrêmes ? Sinon, même la logique produit la plus parfaite, si elle manque d’une conception de frontières de sécurité, finira par subir le coût des risques systémiques.