Неизвестный злоумышленник, похитивший средства из пула ликвидности GLP на платформе GMX V1 в сети Arbitrum, согласился вернуть большую часть украденного в обмен на вознаграждение в размере $5 млн. Атака коснулась стейблкоинов USDC и FRAX, а также токенов wBTC и wETH.
После инцидента команда GMX направила хакеру ончейн-сообщение, предложив 10% от украденной суммы как награду за возврат остальных 90%, при условии, что активы будут возвращены в течение 48 часов. Также взломщику пообещали не привлекать его к юридической ответственности.
«Ок, средства будут возвращены позже», — ответил злоумышленник, после чего перевел два транша по 5,5 млн и 5 млн FRAX соответственно. Позднее он также вернул около 9 000 ETH, что эквивалентно примерно $27 млн на момент возврата.
В результате атаки цена токена GMX упала на 28% — до $10,45. Однако после известий о частичном возврате средств криптовалюта восстановилась и выросла на 15,8%, торговавшись к настоящему времени на уровне $13,3.
Специалисты проекта установили, что уязвимость находилась в смарт-контракте OrderBook протокола GMX V1. Хакер использовал баг повторного входа (reentrancy), чтобы манипулировать ценой биткоина и извлечь ликвидность с прибылью.
Важно отметить, что вторая версия протокола осталась вне зоны риска. В будущем функции минтинга и погашения GLP в сети Arbitrum будут отключены, а оставшиеся ликвидные средства направят на компенсацию ущерба пользователям.
