أعلنت GMX عن تعرضها للاختراق بمبلغ 42 مليون دولار: تم استغلال "ثغرة إعادة الدخول" من قبل القراصنة، كيف سيتم تعويض المستخدمين؟

بتوقيت تايوان في 10 يوليو مساءً، أصدرت منصة تداول العقود الآجلة المركزية GMX، بعد سرقتها 42 مليون دولار في 9 يوليو، تقريرًا مفصلًا على منصة X، موضحة الأسباب الجذرية للهجوم، والإجراءات الأولية المتخذة، والخطط المستقبلية. (ملخص الأحداث السابقة: لم تُسرق الأموال فقط من GMX، بل أيضًا مكانتها) (معلومات خلفية: تحليل عميق》مقارنة بين ستة بروتوكولات مشتقات داخل السلسلة: GMX، Synthetix...) تعرضت منصة تداول العقود الآجلة اللامركزية العريقة GMX، في نشرها V1 على Arbitrum، لهجوم قراصنة في 9 يوليو، حيث بلغت الخسائر 42 مليون دولار. في 10 يوليو مساءً، نشرت GMX على منصة X تقريرًا مفصلًا يكشف الأسباب الجذرية للهجوم، والإجراءات الأولية المتخذة، والخطط المستقبلية. أسباب اختراق GMX وفقًا للتقرير الرسمي لـ GMX، حدث هذا الهجوم في 9 يوليو 2025 عند الساعة 12:30 (UTC)، حيث استغل المهاجمون ثغرة "هجوم إعادة الدخول" على GMX V1 في Arbitrum، واستدعوا مباشرة دالة increasePosition في عقد Vault، متجاوزين آلية حساب السعر المتوسط للمراكز القصيرة التي تتم بواسطة عقود PositionRouter و PositionManager في العملية العادية. قام المهاجمون بالتلاعب بسعر المتوسط للمراكز القصيرة لـ BTC من 109,505.77 دولار إلى 1,913.70 دولار، واستخدموا القروض السريعة لشراء GLP (عملة السيولة GMX) بسعر 1.45 دولار، حيث فتحوا مركزًا بقيمة 15.38 مليون دولار، وأخيرًا دفعتهم الأسعار إلى رفع قيمة GLP لأكثر من 27 دولار، محققين أرباحًا ضخمة. أشار التقرير إلى أن مدخل الهجوم يقع في دالة معينة لعقد OrderBook، وعلى الرغم من وجود مُعدِّل nonReentrant في تلك الدالة، إلا أنه يمنع فقط إعادة الدخول داخل نفس العقد، ولم يمنع الهجمات عبر العقود. في هذا السياق، اتخذت GMX إجراءات سريعة بعد اكتشاف الثغرة، حيث أوقفت التداول على Avalanche لتجنب تفاقم الخسائر، وتواصلت مع Arbitrum، ومنصات التداول، وبروتوكولات الجسر، ومصدري العملات المستقرة (مثل Circle و Tether و Frax) لتتبع الأموال المسروقة، كما تواصلت مع المهاجمين عبر الرسائل داخل السلسلة. بالإضافة إلى ذلك، أكدت GMX أن GMX V2 لا تحتوي على ثغرات مماثلة، حيث يتم حساب متوسط سعر المراكز القصيرة وتنفيذ الأوامر داخل نفس العقد. الخطوات التالية لمعالجة التأثيرات اللاحقة للهجوم وحماية حقوق المستخدمين، اقترحت GMX الخطط التالية: توزيع الأموال واستعدادات التعويض: حاليًا، تحتوي بركة GLP على حوالي 3.6 مليون دولار من العملات، بسبب المراكز غير المغلقة التي تم الاحتفاظ بها. ستنتقل تكاليف GLP V1 على Arbitrum والتي تبلغ حوالي 500,000 دولار (بعد خصم 30% من الرسوم للتحويل التلقائي إلى GMX) إلى خزينة GMX DAO، لاستخدامها في تعويض حاملي GLP المتأثرين. سيتم تخصيص الأموال المتبقية من GLP على Arbitrum إلى بركة التعويض، ليتسنى لحاملي GLP المتأثرين التقديم. تعطيل سك واسترداد GLP: سيتم تعطيل سك واسترداد GLP على Arbitrum. سيتم تعطيل سك GLP على Avalanche، لكن ستظل وظيفة الاسترداد مفتوحة، مما يسمح للمستخدمين بالتعامل بمرونة. إدارة المراكز والأوامر: بعد تعطيل استرداد GLP على Arbitrum، سيتم تفعيل وظيفة إغلاق المراكز على V1 على Arbitrum و Avalanche، مما يسمح للمستخدمين بإغلاق المراكز الحالية. لكن وظيفة فتح المراكز لـ V1 لن يتم تفعيلها، لتفادي حدوث هجمات مشابهة مرة أخرى. لن يتم تنفيذ الأوامر الحالية لـ V1 على Arbitrum و Avalanche، وسيحتاج المستخدمون لإلغاء جميع أوامر V1 بأنفسهم. مناقشات الحوكمة اللاحقة: سيبدأ GMX DAO مناقشات الحوكمة لتخطيط مزيد من إجراءات التعويض، لضمان توزيع عادل للأموال المتبقية ووضع استراتيجيات وقائية طويلة الأمد. دعم التكديس esGMX: في Arbitrum و Avalanche، يمكن للمستخدمين الذين يستخدمون GLP لتكديس esGMX الاستمرار في التكديس. يمكن لمستخدمي Avalanche استرداد GLP في أي وقت، لكن إذا لم يتم استخدام GLP للتكديس، يُنصح بإجراء الاسترداد. توصيات بشأن انقسامات GMX V1: تحث GMX جميع مشاريع انقسام V1 على اتخاذ تدابير للوقاية من هجمات مشابهة مثل: 1) تعطيل وظيفة الرافعة المالية؛ 2) تقييد سك GLP. تقارير ذات صلة: أكبر الحيتان في GMX تفتح مراكز قصيرة بقيمة 12 مليون دولار ETH! وقد تعرضوا لخسارة بنسبة 75% ويواجهون التصفية. إطلاق Compound III على Arbitrum، يدعم رهن ARB و GMX و WETH و WBTC لإقراض USDC. هل سيكون مشروع MUX، الذي ينمو في السوق المعاكس، قاتلاً لـ GMX؟ <GMX تكشف عن تقرير سرقتها بـ 42 مليون دولار: "استغل القراصنة ثغرة إعادة الدخول، كيف سيتم تعويض المستخدمين؟> تم نشر هذه المقالة أولاً في BlockTempo "حركة الكتل-أكثر وسائل الإعلام تأثيرًا في مجال البلوكتشين."