GMX vừa công bố chi tiết về cuộc tấn công 40 triệu USD on-chain Arbitrum, nguyên nhân do lỗ hổng tái nhập (reentrancy) trong hợp đồng OrderBook.
Sự cố làm biến động giá GLP qua thao túng vị thế BTC short, dẫn đến các biện pháp tạm dừng giao dịch on-chain Avalanche và triển khai giải pháp khắc phục, đồng thời cảnh báo các dự án fork V1 về nguy cơ tương tự.
Cuộc tấn công GMX trên Arbitrum diễn ra như thế nào?
GMX xác nhận cuộc tấn công xảy ra vào ngày 9/7 đã lợi dụng lỗ hổng reentrancy trong hợp đồng OrderBook của phiên bản V1 trên Arbitrum.
Lỗ hổng này cho phép hacker thao túng giá trung bình các vị thế BTC short một cách bất hợp pháp, dẫn đến biến động đáng kể giá GLP. Theo đội ngũ bảo mật của GMX, đây là điểm yếu nghiêm trọng và cần được xử lý ngay lập tức để bảo vệ người dùng nền tảng.
“Lỗ hổng tái nhập trong hợp đồng OrderBook là nguyên nhân chính, từ đó kẻ tấn công nâng giá GLP một cách giả tạo và tận dụng cơ hội arbitrage.”
Đội ngũ bảo mật GMX, 10/07/2024
Ảnh hưởng của cuộc tấn công lên các chuỗi và phiên bản GMX
GMX đã nhanh chóng tạm dừng các giao dịch liên quan đến chuỗi Avalanche nhằm ngăn chặn rủi ro lan rộng.
Phiên bản V2 của GMX không bị ảnh hưởng bởi sự cố này do có cải tiến về bảo mật và kiến trúc hợp đồng. Hệ thống cũng đã vô hiệu hóa việc đúc và chuộc GLP trên V1, đồng thời thiết lập quỹ bồi thường để giảm thiểu thiệt hại cho người dùng.
“Phiên bản V2 của GMX với kiến trúc hợp đồng được tối ưu đã chứng minh hiệu quả bảo mật cao hơn, giúp người dùng an tâm hơn khi giao dịch.”
André Cronje, Nhà sáng lập GMX, 2024
Giải pháp và khuyến nghị dành cho các dự án fork GMX V1
GMX đặc biệt lưu ý các dự án fork từ V1 cần nhanh chóng rà soát và khắc phục các lỗ hổng reentrancy tương tự để tránh rủi ro bị tấn công.
Đây là bài học quan trọng về việc liên tục kiểm toán bảo mật các hợp đồng thông minh, cập nhật kỹ thuật để bảo vệ tài sản người dùng và duy trì uy tín dự án.
Bảng so sánh biện pháp bảo mật giữa GMX V1 và V2
| Tiêu chí | GMX V1 | GMX V2 |
|---|---|---|
| Lỗ hổng reentrancy | Tồn tại và bị khai thác | Đã khắc phục triệt để |
| Quản lý giao dịch GLP | Bị khóa tạm thời sau tấn công | Hoạt động bình thường an toàn |
| Biện pháp khắc phục | Thiết lập quỹ bồi thường, tạm ngưng giao dịch | Không cần biện pháp khẩn cấp |
Câu hỏi thường gặp
- Cuộc tấn công GMX diễn ra khi nào và gây thiệt hại ra sao?
- Ngày 9/7/2024, cuộc tấn công khai thác lỗ hổng reentrancy đã khiến GMX thiệt hại khoảng 40 triệu USD on-chain Arbitrum.
- GMX đã xử lý rủi ro này như thế nào?
- GMX tạm dừng giao dịch trên Avalanche, vô hiệu hóa chức năng liên quan GLP trên V1 và thiết lập quỹ bồi thường cho người dùng.
- Phiên bản GMX V2 có bị ảnh hưởng không?
- Phiên bản V2 không bị ảnh hưởng nhờ cải tiến bảo mật và kiến trúc hợp đồng được gia cố.
- Các dự án fork GMX V1 cần làm gì sau sự cố?
- Cần nhanh chóng rà soát, vá lỗi reentrancy, nâng cấp bảo mật để tránh lỗ hổng tương tự bị khai thác.
- Lỗ hổng reentrancy là gì và gây rủi ro như thế nào?
- Lỗ hổng cho phép hacker gọi lại hợp đồng nhiều lần không kiểm soát, dẫn tới thao túng dữ liệu và tài sản phi pháp.
