GMX v1 Kehilangan $42 Juta Melalui Manipulasi AUM Kemarin GMX v1 mengalami serangan yang menguras $42 juta melalui manipulasi AUM. Ini adalah peretasan besar ke-2 GMX pada tahun 2025 (kehilangan $13 juta pada bulan Maret). Penafian: Ini bukan post-mortem lengkap, saya terutama melihat bagian manipulasi AUM. Vektor Serangan: 1. Reentrancy yang dieksploitasi dalam fungsi 'executeDiminishOrder' 2. Selama callback, membuka posisi short besar-besaran dengan harga rendah secara artifisial 3. Memanipulasi 'globalShortAveragePrices', menggelembungkan perhitungan AUM 4. Sistem mengira memiliki "keuntungan yang belum direalisasikan" yang besar dari short 5. Token GLP yang ditebus dengan harga yang melambung, mengekstraksi aset riil Masalah inti: AUM GMX = Token Fisik + Stablecoin + Keuntungan Perdagangan yang Belum Terealisasi + Biaya Ketika short kehilangan uang (harga saat ini > harga rata-rata), vault "keuntungan" dan AUM meningkat. Penyerang mengeksploitasi ini untuk menciptakan keuntungan buatan. Pencegahan Sederhana: Invarian batas AUM yang menegakkan 'AUM_change ≤ net_token_inflow + 5%' akan segera menangkap ini. Serangan itu menciptakan nilai buatan yang sangat besar dengan setoran nyata minimal - persis seperti yang dideteksi oleh pemeriksaan kewarasan ekonomi. Versi sederhana dari pernyataan @phylaxsystems yang dapat mendeteksi dan mencegah peretasan: