GMX, 4,200만 달러 해킹 사건 보고서 발표: 해커들이 '재진입 취약점'을 악용, 사용자들에게 어떻게 보상할까?

avatar
BlockTempo
07-11
이 기사는 기계로 번역되었습니다
원문 표시

오랜된 탈중앙화 영구 계약 거래소 GMX(Good Morning)가 아비트럼(Arbitrum) 상의 V1에서 7월 9일에 해커 공격을 받아 4,200만 달러의 손실을 입었습니다. 대만 시간 7월 10일 저녁, GMX(Good Morning)는 X 플랫폼에서 자세한 보고서를 발표하여 이번 공격의 근본 원인, 초기 대응 조치 및 향후 계획을 공개했습니다.

GMX(Good Morning) 해킹 원인

GMX(Good Morning)의 공식 보고서에 따르면, 이번 공격은 2025년 7월 9일 오후 12시 30분(UTC)에 발생했으며, 공격자는 아비트럼(Arbitrum) 상의 GMX(Good Morning) V1의 '재진입 공격'(re-entrancy attack) 취약점을 이용해 Vault 계약의 increasePosition 함수를 직접 호출하여 PositionRouter와 PositionManager 계약에서 평균 공매도 가격을 계산하는 정상적인 프로세스를 우회했습니다.

공격자는 비트코인(BTC)의 평균 공매도 가격을 109,505.77달러에서 1,913.70달러로 조작하고, 플래시 론(Flash loan)을 이용해 1.45달러의 가격으로 GLP(GMX(Good Morning) 유동성 토큰)를 구매하여 1,538만 달러 규모의 포지션을 열었으며, 최종적으로 GLP 가격을 27달러 이상으로 끌어올려 막대한 이익을 실현했습니다.

보고서는 공격 진입점이 OrderBook 계약의 특정 함수에 있으며, 해당 함수에 nonReentrant 수정자가 설정되어 있었지만 동일 계약 내 재진입만 방지할 수 있었고 교차 계약 공격을 막지 못했다고 지적했습니다.

이에 GMX(Good Morning)는 취약점 발견 후 신속하게 조치를 취해 AVA 상의 거래를 중단하여 손실 확대를 방지하고, 서클(Circle), 테더(Tether), 프랙스(Frax) 등 아비트럼, 거래소, 브릿지 프로토콜 및 스테이블코인 발행사와 연락하여 도난 자금을 추적했으며, 동시에 온체인 메시지를 통해 공격자와 소통했습니다.

또한 GMX(Good Morning)는 GMX V2에는 유사한 취약점이 존재하지 않으며, 공매도 평균 가격 계산과 주문 실행이 동일 계약 내에서 완료된다고 추가로 확인했습니다.

다음 단계 조치

공격 이후의 영향을 처리하고 사용자 권익을 보호하기 위해 GMX(Good Morning)는 다음과 같은 구체적인 계획을 제시했습니다:

  • 자금 배분 및 보상 준비: 현재 GLP 풀에는 약 360만 달러의 토큰이 미청산 포지션으로 인해 보류되어 있습니다. 아비트럼(Arbitrum) 상 GLP의 V1 수수료 약 50만 달러(자동으로 GMX로 전환되는 30% 수수료 제외)는 GMX 분산형 자율 조직(DAO) 금고로 이전되어 영향받은 GLP 보유자에 대한 보상에 사용됩니다. 아비트럼(Arbitrum) 상 나머지 GLP 자금은 보상 풀로 분배되어 영향받은 GLP 보유자가 신청할 수 있습니다.
  • GLP 민트 및 환매 비활성화: 아비트럼(Arbitrum) 상의 GLP 민트 및 환매가 비활성화됩니다. AVA 상의 GLP 민트는 비활성화되지만 환매 기능은 열려 있어 사용자가 유연하게 대응할 수 있습니다.
  • 포지션 및 주문 관리: 아비트럼(Arbitrum) 상 GLP 환매를 비활성화한 후, 아비트럼(Arbitrum)과 AVA 상의 V1 포지션 종료 기능이 활성화되어 사용자가 기존 포지션을 종료할 수 있습니다. 그러나 V1의 포지션 진입 기능은 유사한 공격을 방지하기 위해 활성화되지 않을 것입니다. 아비트럼(Arbitrum)과 AVA 상의 기존 V1 주문은 더 이상 실행되지 않으며, 사용자는 모든 V1 주문을 직접 취소해야 합니다.
  • 후속 거버넌스 논의: GMX 분산형 자율 조직(DAO)은 추가 보상 조치에 대한 거버넌스 논의를 시작하여 나머지 자금의 공정한 분배와 장기 방어 전략을 수립할 예정입니다.
  • esGMX 스테이킹 지원: 아비트럼(Arbitrum)과 AVA에서 GLP를 사용한 esGMX 스테이킹 사용자는 계속 스테이킹할 수 있습니다. AVA 상 사용자는 언제든 GLP를 환매할 수 있으며, GLP가 스테이킹에 사용되지 않은 경우 환매를 권장합니다.
  • GMX V1 포크에 대한 제안: GMX(Good Morning)는 모든 V1 포크 프로젝트에 유사한 공격을 방지하기 위해 두 가지 조치를 취할 것을 촉구했습니다: 1) 레버리지 기능 비활성화, 2) GLP 민트 제한.

섹터:
파생상품
출처
면책조항: 상기 내용은 작자의 개인적인 의견입니다. 따라서 이는 Followin의 입장과 무관하며 Followin과 관련된 어떠한 투자 제안도 구성하지 않습니다.
라이크
즐겨찾기에 추가
코멘트
관련 콘텐츠