40M Na Nalugi Sa GMX Hack

Ang $40M Na Nalugi Ay Hindi Random

Nakita ko ang transaction hash sa Arbitrum: 0x03182d3f0956a91c4e4c8f225bbc7975f9434fab042228c7acdc5ec9a32626ef. Hindi nag-brute force ang attacker—naggamit siya ng reentrancy bug sa executeDecreaseOrder. Ito ay inadmit lamang ang EOA, pero ginamit niya ang smart contract. Ito ay hindi bug—itong exploit.

Paano Ginamit Ang AUM

Ang GLP ay kinakatawan ng proportional claims: USDC, ETH, WBTC. Ang formula na redeem_amount = (user_GLP / total_GLP_supply) * AUM ay tila malinis—hanggang manipulahin ang AUM. Karaniwan, AUM = total collateral minus unrealized losses. Pero nang buksan ang leverage at binuksan ang shorts bago i-redeem? Biglang nawala ang unrealized losses—at tumalon ang AUM.

Binuksan ng attacker ang malaking WBTC shorts bago i-stakeAndRedeemGlp. Binabale nila ang AUM bilang kita, hindi exposure. Kaya naredeem nila ang GLP laban sa inflated na halaga at umalis nang higit pa sa kanilang karapat.

Hindi ito tungkol sa kagalitan—tungkol ito sa maling palaisipan: pagtitiwala sa unverified contract calls bilang trusted EOA, habang iniwan ang state drift dahil sa leverage.

Bakit Patuloy Itong Mangyayari

Binalaan naming mga sistema sa tiwala, hindi verification. Inaatupahan namin na static ang liquidity pools habang dynamic sila—at pinapahintulutan namin na lumaki ang risk nang walang real-time audit trail.

Ang susunod na hack ay hindi tungkol sa code—itong tungkol sa kultura. Kung patuloy pa ring gumagamit ng ‘trusted’ bilang default behavior sa DeFi contracts? Nalilig ka na.