Július 9-én súlyos támadás érte a decentralizált GMX kereskedési platformot. Az incidens során 42 millió dollárnyi kriptovaluta tűnt el.
A blokklánc-adatok szerint a hacker a lopott pénz nagy részét már átváltotta. Összesen 11.700 ETH-ra cserélte.
A GMX feltörése
A szerdai incidens során a támadó több mint 10 millió dollár értékű régi Frax Dollárt (FRAX) lopott el.
Emellett 9,6 millió dollárnyi wrapped bitcoint (wBTC) és körülbelül 5 millió dollárnyi DAI stablecoint is megszerzett.
A támadás után 9,6 millió dollárt átváltottak DAI-ra és ETH-ra az Ethereum blokkláncon.
További 32 millió dollár az Arbitrum hálózaton maradt. A GMX megerősítette a lopást egy X-en közzétett bejegyzésben.
„A GMX V1 GLP poolját az Arbitrum hálózaton támadás érte. Körülbelül 40 millió dollárnyi tokent utaltak ismeretlen tárcába.”
A Lookonchain blokkláncelemző platform szerint az elkövető már átváltotta az ellopott eszközöket – a FRAX kivételével – 11.700 ETH-ra. Ezután ezt az összeget négy új pénztárcába küldte tovább.
A protokoll korábban jelezte, hogy a GMX V2, a piacai, a likviditási pooljai és a GMX token nem érintettek. Ideiglenesen szüneteltették a GLP tokenek kibocsátását és visszaváltását Arbitrumon és Avalanche-on.
Ezzel akarták megelőzni a további károkat és biztosítani az eszközöket. Később a felhasználókat felszólították, hogy kapcsolják ki a tőkeáttételt, és frissítsék a beállításaikat a további GLP kibocsátás megakadályozása érdekében.
A GMX egy láncon belüli üzenetet küldött a hackernek. Ebben egy 4,2 millió dolláros „white-hat” jutalmat ajánlottak fel.
Az ajánlat szerint nem lesz jogi következménye, ha 48 órán belül visszaadja a hiányzó 90%-ot. Eddig nem érkezett válasz.
A reentrancia sebezhetőség
A teljes feltárásról szóló jelentés még nem jelent meg. A SlowMist blokklánc-biztonsági cég szerint a támadás oka a GMX V1 tervezési hibája volt.
A sebezhetőség lehetővé tette, hogy a támadó manipulálja a GLP token árát. Ezt úgy érte el, hogy beavatkozott a rendszer által kezelt teljes eszközállomány számításába.
A SlowMist elmagyarázta, hogy egy olyan funkciót használtak, amely tőkeáttételt tesz lehetővé a megbízások végrehajtásakor. Ezután újrahívási támadást hajtottak végre.
The root cause of this attack stems from @GMX_IO v1's design flaw where short position operations immediately update the global short average prices (globalShortAveragePrices), which directly impacts the calculation of Assets Under Management (AUM), thereby allowing manipulation… https://t.co/BIMtZAI1s7 pic.twitter.com/BIILFf8Mex
— SlowMist (@SlowMist_Team) July 9, 2025
Ez lehetővé teszi, hogy egy függvényen belül többször is meghívják ugyanazt a kódot, ami hibás egyenlegszámítást okozhat az okosszerződésben.
Egyetlen tranzakcióval nagy mennyiségű short pozíciót nyitott a bűnöző. Ezzel manipulálta a globális árfolyamadatokat. Ez a lépés mesterségesen felhajtotta a GLP token árát, így nyereséget ért el a visszaváltáson keresztül.
A hackertámadások és a kibertámadások továbbra is komoly kihívást jelentenek a kriptoiparban.
Egy friss CertiK-jelentés rámutatott, hogy 2025 második negyedévében 144 incidens során több mint 801,3 millió dollár veszett el.
A legnagyobb kárt az adathalászat okozta. 52 támadásban összesen 395 millió dollárt loptak el.
A második leggyakoribb ok a kódbeli sebezhetőség volt. Ez 47 esetben 235,8 millió dolláros veszteséget eredményezett.
Olvastad már? Új szabályozások közepette indul útjára a Pump.fun mémcoin token értékesítése
SZERETNÉD MEGKAPNI LEGFRISSEBB HÍREINKET? IRATKOZZ FEL HÍRLEVELÜNKRE!
Tájékoztatás: A kriptoworld.hu oldalon található információk és elemzések a szerzők magánvéleményét tükrözik. A jelen oldalon megjelenő írások, cikkek nem valósítanak meg a 2007. évi CXXXVIII. törvény (Bszt.) 4. § (2). bek 8. pontja szerinti befektetési elemzést és a 9. pont szerinti befektetési tanácsadást.
Bármely befektetési döntés meghozatala során az adott befektetés megfelelőségét csak az adott befektető személyére szabott vizsgálattal lehet megállapítani, melyre a jelen oldal nem vállalkozik és nem is alkalmas. Az egyes befektetési döntések előtt éppen ezért tájékozódjon részletesen és több forrásból, szükség esetén konzultáljon befektetési tanácsadóval!
A cikkekben megjelenő esetleges hibákért téves információkból eredendő anyagi károkért a kriptoworld.hu felelősséget nem vállal.