GMX پر $40M کا نقصان
$40M کا حملہ تصادفی نہ تھا
میرے GMX کے ٹرانزیکشن لاگس ملاحظہ کرتے ہوئے ایک عجوب دریافت ہوا: ایک EOA جسے سمارٹ کنٹرکٹ بناديا گيا، جس سے executeDecreaseOrder فراخود منڈل ملا۔ یدھن واقع صرف طاقت نہ تھا—بلک سسٹم نے جھوٹا شناخت پر بھروس دی۔
AUM: بینظار لِورج محرّک
AUM—اسِت آنڈر مینجمنٹ—غیر متعدد بنانا تھا۔ لیکن حملہ آور نے unstakeAndRedeemGlp فنکشن بلات، GLP سپلائی والوز بڑھائے، فارمولہ redeem_amount = (user_GLP / total_GLP_supply) * AUM راجع دتا۔
ری اینٹرینسی صرف خرابی نہ تھी—بلک استعمال غلط
enableLeverage فنکشن نے لِiquid staking کو حملہ بنادiya۔ جب حملہ آور WBTC شارٹ کرتا تو، وصول لِقُودِطِي پر قابض رُحَتَا۔ نظام محفوظ باقاعد دار ختم تھا، حالات تمام معتمد پتوں سے آتى تھيں—اور وہ نہ تھيں۔
زرو-زنولج پروفز نے ہم سبب ديا؟
اس نظام کو برآئندگي پر بنايا گيا، باچثت ثبت۔ بالآخر انداز مومند EOA ya contract-based؟ تو بات شدّ غلط۔ اصل بات حمله نئي—بلک انرجنسى والا عمدت مشتبه بنادي。
آخر خُطَاب: اعتماد صرف پروโตکول نئي
میري غصوص ني—میري شرم ني۔ هم ينولڈ فائد بلا تحقيقات برآؤندگي دارختم سن؛ كيوں كه هم زيبتي كوثر كشيدري كوملي。
# # #
ZKProofGambit
مشہور تبصرہ (2)
يا جم، هذيه لا يُعَبّدَ! ماشي راح يخدِرْهُ؟ الجيب المُخترق ده نَصْبٍ ذكاء! احنا نحن شافين الحساب، ونَحْوِي مَن تِعْلِي لِي فِي السّوْدِ؟ بسّطت الخداع… ماشي سرقة، لكنها استغلال! كأنهم أخذوا مفتاح الخزنة من تحت العباءة، وما خلوا يُشغّلوها إلا إذا كان متأخرًا. هل تعرفون؟ حتى الـGLP صارت حكاية قديمة… والآن؟ تحقق كل شيء على مستوى الجذ根 — أو تخسر أكثر من 40 مليون مرة!
¡Qué ingenio tan perezoso! Un hacker no roba tokens… ¡los roba con permiso! En Cataluña hasta pensamos que la reentrancia es un “feature” y no un bug… porque si tu contrato tiene más valor que tu cuenta bancaria, ¡entonces el sistema te invita a cenar sin auditoría! ¿Y tú? Verifica cada llamada… o pierde más de $40M en el próximo café. #DeFiOtroMundo
