GMX bestätigte eine verheerende Sicherheitslücke, durch die rund 42 Millionen US-Dollar aus den Liquiditätspools abgezogen wurden. Um die gestohlenen Gelder wiederzuerlangen, hat das GMX-Team ein Kopfgeld von 10 % auf den Hacker ausgesetzt. Außerdem versprachen sie, dass es keine rechtlichen Konsequenzen geben wird, wenn die Gelder innerhalb von 48 Stunden zurückgegeben werden.
Der Vorfall ereignete sich auf der GMX-Plattform v1, die hauptsächlich auf dem Arbitrum-Netzwerk läuft. Um 13:34 Uhr Londoner Zeit wurden abnormale Abflüsse aus dem GLP-Liquiditätspool des Protokolls festgestellt.
Blockchain-Sicherheitsunternehmen, darunter PeckShield und Cyvers, stuften das Ereignis schnell als ausgeklügelten Angriff ein. Sie fügten hinzu, dass es sich um einen böswilligen Smart Contract handelte, der von einer Adresse eingesetzt wurde, die über Tornado Cash finanziert wurde – ein Datenschutzinstrument, das häufig verwendet wird, um die Herkunft von Geldern zu verschleiern.
Der Angreifer nutzte eine Re-Entrancy-Schwachstelle im GLP-Pool aus und begann, die gestohlenen Gelder schrittweise zu verschieben. Zunächst überbrückten sie etwa 9,6 Millionen Dollar von Arbitrum zu Ethereum – eine bewährte Taktik zur Geldwäsche und Verschleierung digitaler Vermögenswerte.
GMX antwortet auf den Hack
Nach dem Angriff hat GMX sofort den Handel und das Minting/Redemining von GLP-Token auf Arbitrum und Avalanche deaktiviert, um weitere Verluste zu verhindern. Das Team versicherte den Nutzern, dass der Angriff nur die v1-Kontrakte betraf und nicht die v2-Kontrakte, über die inzwischen der Großteil des Handelsvolumens abgewickelt wird.
Leider hatte das Unternehmen bereits erhebliche Verluste erlitten. So stürzte der Preis von GMX’s nativer Coin um bis zu 28% ab. Dadurch fiel der Preis in den Stunden nach dem Breach auf 11,20 Dollar. Außerdem waren über 500 Millionen Dollar an User-Einlagen gefährdet, wobei das volle Ausmaß der Auswirkungen auf die User noch untersucht wird.
Wie bei DeFi-Protokollen, die mit katastrophalen Verlusten konfrontiert sind, üblich, schickte GMX eine On-Chain-Nachricht direkt an die Wallet des Angreifers. Darin wurde ein Kopfgeld von 10 % – etwa 4,2 Millionen US-Dollar – für die Rückgabe der restlichen 90 % des Geldes angeboten. GMX versprach, keine rechtlichen Schritte einzuleiten, wenn der Hacker innerhalb von 48 Stunden einwilligt.
Bisher wurden keine Gelder zurückerhalten und die Wallet des Angreifers enthält zum Zeitpunkt der Veröffentlichung immer noch fast 44 Millionen Dollar in verschiedenen Werten.
Lies hier mehr: Seltenes Muster im Polygon Kurs signalisiert eine Rallye, da sich das Ökosystem erholt
