GMX v1 förlorade 42 miljoner dollar genom AUM-manipulation Igår drabbades GMX v1 av en attack som dränerade 42 miljoner dollar genom AUM-manipulation. Detta var GMX:s 2:a stora hack 2025 (förlorade 13 miljoner dollar i mars). Disclaimer: Detta är inte en fullständig post-mortem, jag har främst tittat på AUM-manipulationsdelen. Attackvektorn: 1. Utnyttjad återinträde i funktionen "executeDecreaseOrder" 2. Under callback, öppnade massiva korta positioner till artificiellt låga priser 3. Manipulerade "globalShortAveragePrices", vilket blåste upp AUM-beräkningen 4. Systemet trodde att det hade enorma "orealiserade vinster" från blankningar 5. Inlösta GLP-tokens till uppblåsta priser, utvinning av reala tillgångar Kärnfrågan: GMX:s AUM = Fysiska tokens + Stablecoins + Orealiserade handelsvinster + avgifter När blankare förlorar pengar (nuvarande pris > genomsnittligt pris) ökar valvet "vinster" och AUM. Angriparen utnyttjade detta för att skapa artificiella vinster. Enkelt förebyggande: En invariant AUM-gränser som tvingar fram "AUM_change ≤ net_token_inflow + 5 %" skulle ha fångat upp detta omedelbart. Attacken skapade ett massivt artificiellt värde med minimala reala insättningar – exakt vad ekonomiska hälsokontroller upptäcker. En förenklad version av en @phylaxsystems påstående som kunde ha upptäckt och förhindrat hacket: