چکیده
- نفوذگر که بیش از ۴۰ میلیون دلار از قراردادهای V1 پروژه GMX سرقت کرده بود، بازگرداندن این وجوه را آغاز کرده است و به نظر میرسد پاداش ۵ میلیون دلاری وایتهت را پذیرفته است.
- بیش از ۱۰.۵ میلیون دلار به صورت FRAX ابتدا به کیف پول دیپلوی GMX بازگردانده شد و بقیه وجوه نیز به زودی ارسال شد.
- این نفوذ با استفاده از یک نقص re-entrancy در قرارداد OrderBook انجام شد که GMX را وادار به توقف معاملات و مینتینگ نسخه V1 در پلتفرمهای Arbitrum و Avalanche کرد.
نفوذگری که بیش از ۴۰ میلیون دلار از قراردادهای V1 پروژه GMX را تخلیه کرده بود، بازگرداندن وجوه را آغاز کرده است که نشان میدهد پاداش ۵ میلیون دلاری وایتهت این پروژه را پذیرفته است.
اولین نشانههای این بازگرداندن در روز جمعه و از طریق یک پیام زنجیرهای ظاهر شد: “باشه، وجوه به زودی بازگردانده خواهد شد.”
چند ساعت بعد، بیش از ۱۰.۵ میلیون دلار به صورت FRAX به کیف پول دیپلوی GMX بازگردانده شد. شرکت امنیتی PeckShield این بازگشتها را پرچمگذاری کرد که به نظر میرسد فقط شروعی باشد و انتظار میرود وجوه بیشتری نیز بازگردانده شوند.
در حال حاضر، GMX با قیمت ۱۳.۱۵ دلار در حال معامله است و طی ۲۴ ساعت گذشته ۱۳ درصد افزایش یافته است.
#PeckShieldAlert #GMX Exploiter has returned 5.49M $FRAX to #GMX: Deployer pic.twitter.com/q4hi6DsAX1
— PeckShieldAlert (@PeckShieldAlert) July 11, 2025
بعدها، بیش از ۴۰ میلیون دلار به صورت توکنهای مختلف به آدرس MultiSig کمیته امنیتی GMX بازگردانده شد، که توسط Lookonchain گزارش شد.
#PeckShieldAlert #GMX Exploiter has returned a total of $37.5M worth of cryptos, including ~9K $ETH & 10.5M $FRAX to the #GMX Security Committee Multisig address pic.twitter.com/yBar1dp0Is
— PeckShieldAlert (@PeckShieldAlert) July 11, 2025
این نفوذ که یکی از بزرگترین سوءاستفادههای DeFi در سال جاری است، هدف آن استخر GLP GMX در Arbitrum بود. این نفوذ با استفاده از نقصی در re-entrancy قرارداد OrderBook انجام شد که به نفوذگر اجازه داد تا پوزیشنهای فروش در BTC را دستکاری کرده، ارزشگذاری GLP را افزایش داده و آن را با سودهای زیاد در USDC، WBTC، WETH و FRAX بازخرید کند.
بازدوبارهورود (Reentrancy) یک باگ رایج است که به نفوذگران اجازه میدهد تا با تکرار درخواستها، پروتکل یک قرارداد هوشمند را فریب داده و داراییها را سرقت کنند. یک درخواست اجازه میدهد تا آدرس قرارداد هوشمند با آدرس کیف پول کاربر تعامل داشته باشد.
GMX با توقف معاملات و مینتینگ V1 در هر دو پلتفرم Arbitrum و Avalanche پاسخ داد. یک جایزه بزرگتر از ۱۰ درصد از وجوه سرقت شده پیشنهاد شد، با وعدهای که اگر تمام مبلغ در ۴۸ ساعت بازگردانده شود، هیچ پیگرد قانونی نخواهد داشت.
