40 Millionen Verloren: GMX Reentrancy-Exploit

Der $40M-Diebstahl war kein Zufall

Ich sah die Transaktions-Hash auf Arbitrum: 0x03182d3f0956a91c4e4c8f225bbc7975f9434fab042228c7acdc5ec9a32626ef. Der Angreifer nutzte keinen Brute-Force-Angriff – er instrumentaliserte einen Reentrancy-Bug in executeDecreaseOrder. Diese Funktion war so entworfen, dass nur EOA-Adressen akzeptiert wurden. Doch er sandte eine intelligente Kontraktadresse statt. Das ist kein Bug – das ist ein Exploit.

Wie AUM zur Waffe wurde

GLP repräsentiert proportionale Ansprüche auf Pool-Assets: USDC, ETH, WBTC. Die Formel redeem_amount = (user_GLP / total_GLP_supply) * AUM scheint sauber – bis AUM manipuliert wird. Normalerweise gilt: AUM = Total Collateral minus unrealisierte Verluste. Doch wenn Hebelwirkung aktiviert ist und Short-Positionen vor Rückzahl geöffnet werden? Plötzlich verschwinden unrealisierte Verluste aus der Gleichung – und AUM steigt künstlich.

Der Angreifer öffnete massive WBTC-Shorts kurz vor Aufruf von unstakeAndRedeemGlp. Das System recalulierte AUM, als wären diese Shorts Gewinn – nicht Exposition. So löste er GLP gegen einen aufgeblähten Pool-Wert ein und nahm weit mehr als seinen fairen Anteil.

Das geht nicht um Gier – es geht um fehlerhafte Annahmen: verifizierte Kontrakt-Aufrufe als vertrauenswürdig zu behandeln, den Zustandsdrift unter Hebelwirkung zu ignorieren.

Warum dies immer passiert

Wir bauen Systeme auf Vertrauen, nicht auf Überprüfung. Wir nehmen an, dass Liquiditäts-Pools statisch sind – und lassen Hebelwirkung das Risiko ohne Echtzeit-Audit-Trails verstärken.

Der nächste Hack wird nicht über Code gehen – er wird über Kultur gehen.

Wenn Sie noch immer „vertrauenswürdig“ als Standardverhalten in DeFi-Kontrakten nutzen? Dann sind Sie bereits zu spät.