GMX v1 merkeziyetsiz borsasını (DEX) sömüren ve 40 milyon dolarlık kripto para çalan saldırgan, zincir üstü bir mesajda kriptoları iade edeceğine söz verdikten sonra çalınan fonları geri göndermeye başladı.
Blockchain güvenlik şirketi PeckShield tarafından işaretlenen zincir üstü bir mesajda, hacker fonların iade edileceğini yazdı. “Tamam, fonlar daha sonra iade edilecek,” diye yazdı saldırgan, GMX ekibi tarafından sunulan ödülü kabul ederek.
Hacker, çalınan kripto paraları geri göndermeye başladı
Yaklaşık bir saat sonra, saldırgan saldırıdan çalınan kripto paraları geri göndermeye başladı. Yayın saati itibarıyla, GMX Exploiter 2 olarak etiketlenen adres, GMX ekibi tarafından zincir üstü bir mesajda belirtilen Ethereum adresine yaklaşık 9 milyon dolarlık Ether (ETH) iade etti.
PeckShield, saldırganın GMX ekibine yaklaşık 5,5 milyon dolarlık FRAX tokeni iade ettiğini bildirdi. Bir süre sonra hacker, GMX adresine 5 milyon dolarlık FRAX tokeni daha gönderdi.
Yayın saati itibarıyla GMX'e yaklaşık 20 milyon dolarlık varlık iade edilmişti.
Çarşamba günü gerçekleştirilen istismar, Arbitrum üzerinde dağıtılan perpetual işlem platformunun ilk versiyonu olan GMX v1’deki bir likidite havuzunu hedef aldı.
Saldırgan, GLP tokenlerinin değerini manipüle etmek için bir tasarım hatasından yararlanarak platformdan çeşitli kripto varlıkları çekti.
GMX saldırgana 5 milyon dolarlık ödül teklif etti
X’te paylaştığı bir gönderide GMX ekibi, hackerın yeteneklerini kabul etti ve saldırı sırasında çalınan fonların iadesi karşılığında 5 milyon dolarlık ödül teklif etti.
Ekip, bu miktarın beyaz şapkalı ödül olarak sınıflandırılacağını ve fonlar iade edildikten sonra saldırganın bu miktarı özgürce harcayabileceğini söyledi.
GMX şöyle yazdı:
“Sistemi başarıyla sömürdünüz; bunu yapma konusundaki yeteneğiniz, işlem kayıtlarına bakan herkes için açıkça görülüyor. 5 milyon dolarlık beyaz şapkalı hata ödülü hala geçerliliğini koruyor.”
GMX ekibi, bunun hackerın çalınan fonları harcamakla ilgili riskleri ortadan kaldırmasına olanak sağlayacağını söyledi. Ekip, hacker isterse fonların kaynağını belgelemek için de yardımcı olabileceklerini belirtti.
GMX ekibi, zincir üstü bir mesajda ayrıca hackera, fonlar iade edilmezse 48 saat içinde yasal işlem başlatacaklarını da bildirdi.
Mesajda, çalınan kripto paraların yüzde 90’ı belirttikleri adreslere iade edilirse, saldırganın kalan yüzde 10’u beyaz şapkalı ödül olarak alabileceği belirtildi.
