GMX v1 ztratil 42 milionů dolarů kvůli manipulaci s AUM Včera GMX v1 utrpěl útok, který vysál 42 milionů dolarů prostřednictvím manipulace s AUM. Jednalo se o 2. velký hack GMX v roce 2025 (v březnu prodělal 13 milionů dolarů). Zřeknutí se odpovědnosti: Toto není úplná pitva, podíval jsem se hlavně na část manipulace s AUM. Vektor útoku: 1. Zneužití opětovného přístupu ve funkci 'executeDecreaseOrder' 2. Během zpětného volání jste otevírali masivní krátké pozice za uměle nízké ceny 3. Zmanipulované 'globalShortAveragePrices', nafouknutí výpočtu AUM 4. Systém si myslel, že má obrovské "nerealizované zisky" z krátkých pozic 5. Vykoupení GLP token za nadsazené ceny, extrakce reálných aktiv Jádro problému: AUM GMX = fyzické tokeny + stablecoiny + nerealizované zisky z obchodování + poplatky Když šortky ztrácejí peníze (aktuální cena > průměrná cena), trezor "získává" a AUM se zvyšuje. Útočník toho využil k vytvoření umělého zisku. Jednoduchá prevence: Invariantní AUM vynucující "AUM_change ≤ net_token_inflow + 5 %" by to okamžitě zachytil. Útok vytvořil masivní umělou hodnotu s minimálními reálnými vklady – přesně to, co detekují ekonomické kontroly. Zjednodušená verze @phylaxsystems tvrzení, které mohlo detekovat hack a zabránit mu: