TechFlow, 10 juillet — Yu Xian de SlowMist a publié sur les réseaux sociaux : « La cause fondamentale du vol de 42 millions de dollars subi par GMX hier soir réside dans le fait que GMX v1 met immédiatement à jour les prix moyens globaux des positions courtes (globalShortAveragePrices) lors du traitement de ces positions. Ces prix moyens globaux influencent directement le calcul de la taille totale des actifs gérés (AUM), ce qui permet ensuite de manipuler le prix du jeton GLP.
L'attaquant a exploité cette faille de conception en utilisant la fonctionnalité timelock.enableLeverage activée par le Keeper lors de l'exécution d'ordres (condition nécessaire pour créer de gros ordres à découvert), réussissant ainsi, via une attaque de réentrance, à créer de grandes positions courtes et à manipuler le prix moyen global, faisant artificiellement grimper le prix du GLP au sein d'une même transaction, puis réalisant des profits par des opérations de rachat. »
Faire du DeFi est vraiment une activité à haut risque. GMX est une plateforme très ancienne de trading décentralisé de contrats perpétuels, et elle vient de tomber dans un gros piège. Une prime de 10 % pour les chapeaux blancs ne suffira peut-être pas à inciter l'attaquant à rendre les fonds…





