一名加密貨幣駭客於首次攻擊後 48 小時內,將四千零五十萬美元被盜數碼資產歸還給去中心化交易平台 GMX,並接受約四百五十萬美元的賞金。資安專家形容,今次是重大區塊鏈漏洞事件中罕見的迅速解決。
重要事項:
- 駭客於 7 月 9 日利用 GMX 智能合約漏洞,透過重入攻擊操作代幣價格,盜取約四千二百萬美元資產
- GMX 提供 10%「白帽」賞金,只要在 48 小時內歸還資金便不追究法律責任
- 駭客保留約四百五十萬美元賞金,其餘四千零五十萬美元加密資產已歸還
技術漏洞揭示智能合約風險
今次攻擊針對 GMX 的 Version 1 協議,透過一個複雜的重入漏洞,利用智能合約設計缺陷。根據 GMX 事後報告,駭客操縱了一個未能阻止同一操作中多次調用的合約功能。
此技術漏洞容許攻擊者人為抬高 GMX 流動性提供者代幣 GLP 的價格。
該漏洞讓駭客可於同一功能下作出多次調用,令合約計算出錯的結餘,從而盜取不同數碼資產。
被盜的加密貨幣包括 Wrapped Bitcoin (WBTC)、Legacy Frax Dollar (FRAX) 及 DAI 穩定幣。之後,駭客將資金由 Arbitrum 網絡轉移至以太坊主網,並將除 FRAX 外的資產兌換成 11,700 顆 ETH。
迅速協商造就罕見歸還
GMX 保安團隊即時於鏈上發放訊息,提出 10% 白帽賞金,限時 48 小時內歸還資產並保證不追究。一名駭客利用區塊鏈訊息回覆:「OK,資金遲啲會還返。」並首先將價值一千零四十九萬美元的 FRAX 直接歸還 GMX 保安委員會多簽地址。
剩餘三千二百萬美元(早前換成 ETH)分多次歸還。由於事件期間 ETH 價格上升,該部分價值增至三千五百萬美元。駭客除了本來的賞金,還多保留三百萬美元因價格變動所得利潤,其餘全數歸還。
平台復原與市場反應
GMX 確認新版 Version 2 協議並無受今次漏洞影響。平台現已移除 GMX V2 於 Arbitrum 同 Avalanche 網絡的流動性代幣鑄造上限。
GMX 原生代幣因資金歸還消息逐步回升,根據 CoinMarketCap 市場數據,該資產升幅超過 13%。
資安分析員指出,事件顯示去中心化金融協議仍具風險,但同時證明賞金計劃有助促成自願歸還資金。
結語
GMX 今次事件屬於罕見案例,重大加密貨幣盜竊可透過賞金談判自願歸還資金。四千零五十萬美元的回復,證明 GMX 的 10% 賞金提供為解決區塊鏈安全問題提供傳統法律途徑以外的另一方式。