GMX büyük bir güvenlik açığı ile karşılaştı, kayıplar 40 milyon doları aştı.
Son günlerde, merkeziyetsiz işlem platformuna yönelik bir hacker saldırısı olayı sektörde geniş bir dikkat çekti. Saldırganlar, bir yeniden giriş açığını kullanarak, sözleşmenin kaldıraç özelliğini açtığı durumda kısa pozisyon açarak platformdan 40 milyon dolardan fazla varlık çalmayı başardılar.
Bu saldırının temel sorunu, executeDecreaseOrder fonksiyonunun yanlış kullanımından kaynaklanmaktadır. Bu fonksiyonun tasarım amacı, dış bir hesap (EOA)'i birinci parametre olarak almaktır, ancak saldırgan akıllı bir sözleşme adresi gönderdi. Bu, saldırganın varlık geri alma sürecinde sisteme tekrar tekrar girmesine olanak tanıyarak iç durumu manipüle etmesine ve nihayetinde elde ettiği varlıkların, gerçek GLP değerinin çok üzerinde olmasına neden oldu.
Normal koşullarda, platformun GLP token'ları, kullanıcıların ( gibi varlık havuzundaki çeşitli varlıklara (USDC, ETH, WBTC vb.) olan payını temsil eder. Kullanıcılar GLP'yi geri aldıklarında, sistem mevcut yönetim altındaki varlıkların toplamı ) AUM ( ve kullanıcının sahip olduğu GLP oranına göre iade edilecek varlık miktarını hesaplar. AUM hesaplaması, tüm token havuzlarının toplam değeri, küresel kısa pozisyonların gerçekleşmemiş kar ve zararları gibi birçok faktörü içerir.
Ancak, platform kaldıraçlı işlem özelliğini açtığında, bu mekanizma ölümcül bir zayıflık gösterdi. Saldırganlar, GLP'yi geri çekmeden önce büyük miktarda WBTC açığa satış pozisyonu açtılar. Sistem, AUM'u hesaplarken gerçekleşmemiş zararları "varlık" olarak gördüğü için, bu AUM'un yapay olarak yükselmesine neden oldu, oysa aslında hazine ek bir değer elde etmemişti. Bu abartılı AUM'a dayanarak geri çekim hesaplaması yapmak, saldırganların hak ettiklerinden daha fazla varlık elde etmelerine olanak tanıdı.
![4000 milyon doların üzerinde kayıp, GMX hack olayı prensip analizi])https://img-cdn.gateio.im/webp-social/moments-a3f421784982dfc8b3ed7e41716befeb.webp(
Bu olay, platformun kaldıraç mekanizması tasarımı ve yeniden çağırma koruması uygulamasında ciddi eksikliklerini ortaya çıkardı. Ana sorun, varlık geri alma mantığının AUM değerine aşırı bağımlılığında yatmakta ve bunun bileşenleri olan ) gibi gerçekleştirilmemiş zararlar ( için yeterli güvenlik doğrulaması yapılmamaktadır. Ayrıca, anahtar fonksiyonların çağıran kimliğine dair varsayımları da zorunlu bir kontrol eksikliği taşımaktadır.
Bu güvenlik olayı, DeFi geliştiricilerine, fonların hassas işlemleriyle ilgilenirken sistem durumunun dış müdahalelerden korunmasını sağlamanın önemini bir kez daha hatırlatıyor. Özellikle kaldıraçlı işlemler, türev ürünler gibi karmaşık finansal mantıkların devreye girmesi durumunda, yeniden giriş saldırıları ve durum kirliliği gibi sistemik risklere karşı daha sıkı önlemler alınması gerekmektedir. Sektördeki tüm tarafların bu olaydan ders çıkarması, akıllı sözleşmelerin güvenlik denetimlerini ve risk yönetimini güçlendirmesi, merkeziyetsiz finans ekosisteminin sağlıklı gelişimini koruması gerekmektedir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
GMX, yeniden girme açığı saldırısına uğradı ve 40 milyon dolardan fazla kayıp yaşadı.
GMX büyük bir güvenlik açığı ile karşılaştı, kayıplar 40 milyon doları aştı.
Son günlerde, merkeziyetsiz işlem platformuna yönelik bir hacker saldırısı olayı sektörde geniş bir dikkat çekti. Saldırganlar, bir yeniden giriş açığını kullanarak, sözleşmenin kaldıraç özelliğini açtığı durumda kısa pozisyon açarak platformdan 40 milyon dolardan fazla varlık çalmayı başardılar.
Bu saldırının temel sorunu, executeDecreaseOrder fonksiyonunun yanlış kullanımından kaynaklanmaktadır. Bu fonksiyonun tasarım amacı, dış bir hesap (EOA)'i birinci parametre olarak almaktır, ancak saldırgan akıllı bir sözleşme adresi gönderdi. Bu, saldırganın varlık geri alma sürecinde sisteme tekrar tekrar girmesine olanak tanıyarak iç durumu manipüle etmesine ve nihayetinde elde ettiği varlıkların, gerçek GLP değerinin çok üzerinde olmasına neden oldu.
Normal koşullarda, platformun GLP token'ları, kullanıcıların ( gibi varlık havuzundaki çeşitli varlıklara (USDC, ETH, WBTC vb.) olan payını temsil eder. Kullanıcılar GLP'yi geri aldıklarında, sistem mevcut yönetim altındaki varlıkların toplamı ) AUM ( ve kullanıcının sahip olduğu GLP oranına göre iade edilecek varlık miktarını hesaplar. AUM hesaplaması, tüm token havuzlarının toplam değeri, küresel kısa pozisyonların gerçekleşmemiş kar ve zararları gibi birçok faktörü içerir.
Ancak, platform kaldıraçlı işlem özelliğini açtığında, bu mekanizma ölümcül bir zayıflık gösterdi. Saldırganlar, GLP'yi geri çekmeden önce büyük miktarda WBTC açığa satış pozisyonu açtılar. Sistem, AUM'u hesaplarken gerçekleşmemiş zararları "varlık" olarak gördüğü için, bu AUM'un yapay olarak yükselmesine neden oldu, oysa aslında hazine ek bir değer elde etmemişti. Bu abartılı AUM'a dayanarak geri çekim hesaplaması yapmak, saldırganların hak ettiklerinden daha fazla varlık elde etmelerine olanak tanıdı.
![4000 milyon doların üzerinde kayıp, GMX hack olayı prensip analizi])https://img-cdn.gateio.im/webp-social/moments-a3f421784982dfc8b3ed7e41716befeb.webp(
Bu olay, platformun kaldıraç mekanizması tasarımı ve yeniden çağırma koruması uygulamasında ciddi eksikliklerini ortaya çıkardı. Ana sorun, varlık geri alma mantığının AUM değerine aşırı bağımlılığında yatmakta ve bunun bileşenleri olan ) gibi gerçekleştirilmemiş zararlar ( için yeterli güvenlik doğrulaması yapılmamaktadır. Ayrıca, anahtar fonksiyonların çağıran kimliğine dair varsayımları da zorunlu bir kontrol eksikliği taşımaktadır.
Bu güvenlik olayı, DeFi geliştiricilerine, fonların hassas işlemleriyle ilgilenirken sistem durumunun dış müdahalelerden korunmasını sağlamanın önemini bir kez daha hatırlatıyor. Özellikle kaldıraçlı işlemler, türev ürünler gibi karmaşık finansal mantıkların devreye girmesi durumunda, yeniden giriş saldırıları ve durum kirliliği gibi sistemik risklere karşı daha sıkı önlemler alınması gerekmektedir. Sektördeki tüm tarafların bu olaydan ders çıkarması, akıllı sözleşmelerin güvenlik denetimlerini ve risk yönetimini güçlendirmesi, merkeziyetsiz finans ekosisteminin sağlıklı gelişimini koruması gerekmektedir.