📢 Gate广场 #NERO发帖挑战# 秀观点赢大奖活动火热开启!
Gate NERO生态周来袭!发帖秀出NERO项目洞察和活动实用攻略,瓜分30,000NERO!
💰️ 15位优质发帖用户 * 2,000枚NERO每人
如何参与:
1️⃣ 调研NERO项目
对NERO的基本面、社区治理、发展目标、代币经济模型等方面进行研究,分享你对项目的深度研究。
2️⃣ 参与并分享真实体验
参与NERO生态周相关活动,并晒出你的参与截图、收益图或实用教程。可以是收益展示、简明易懂的新手攻略、小窍门,也可以是行情点位分析,内容详实优先。
3️⃣ 鼓励带新互动
如果你的帖子吸引到他人参与活动,或者有好友评论“已参与/已交易”,将大幅提升你的获奖概率!
NERO热门活动(帖文需附以下活动链接):
NERO Chain (NERO) 生态周:Gate 已上线 NERO 现货交易,为回馈平台用户,HODLer Airdrop、Launchpool、CandyDrop、余币宝已上线 NERO,邀您体验。参与攻略见公告:https://www.gate.com/announcements/article/46284
高质量帖子Tips:
教程越详细、图片越直观、互动量越高,获奖几率越大!
市场见解独到、真实参与经历、有带新互动者,评选将优先考虑。
帖子需原创,字数不少于250字,且需获得至少3条有效互动
GMX遭可重入漏洞攻击 损失超4000万美元
GMX遭遇重大安全漏洞 损失超4000万美元
近日,一起针对去中心化交易平台的黑客攻击事件引发了业内广泛关注。攻击者通过利用一个可重入漏洞,在合约开启杠杆功能的情况下开设空头头寸,成功从平台窃取了超过4000万美元的资产。
这次攻击的核心问题出在executeDecreaseOrder函数的错误使用上。该函数的设计初衷是将外部账户(EOA)作为第一个参数,但攻击者巧妙地传入了一个智能合约地址。这使得攻击者能够在资产赎回过程中重复进入系统,从而操纵内部状态,最终获取的资产远超其实际持有的GLP价值。
在正常情况下,该平台的GLP代币代表用户对资金池中各类资产(如USDC、ETH、WBTC等)的份额。用户赎回GLP时,系统会根据当前管理资产总额(AUM)和用户持有的GLP比例计算应返还的资产数量。AUM的计算涉及多个因素,包括所有代币池的总价值、全局空头头寸的未实现盈亏等。
然而,当平台开启杠杆交易功能后,这一机制暴露出了致命弱点。攻击者在赎回GLP之前,先开设了大额的WBTC空头头寸。由于系统在计算AUM时将未实现亏损视为"资产",这导致AUM被人为抬高,尽管实际上金库并未获得额外价值。基于这个虚高的AUM进行赎回计算,使得攻击者得以获取超出其应得份额的资产。
这起事件暴露了该平台在设计杠杆机制和实施可重入保护方面的严重缺陷。主要问题在于资产赎回逻辑过度依赖AUM数值,而未对其构成要素(如未实现亏损)进行充分的安全验证。同时,关键函数对调用者身份的假设也缺乏强制性检查。
这一安全事件再次警示了DeFi开发者,在处理资金敏感操作时,必须确保系统状态不被外部操纵。特别是在引入复杂金融逻辑如杠杆交易、衍生品等时,更需要严格防范重入攻击和状态污染可能带来的系统性风险。行业内各方应从此事件汲取教训,加强智能合约的安全审计和风险管理,以维护去中心化金融生态的健康发展。