GMX DEX потеряла $565 тыс из‑за манипулирования ценами
Предупреждали же! Основатель одной из децентрализованных бирж (DEX), конкурирующих с GMX, заявил 2 сентября, что на GMX может быть использован эксплойт, который может оставить держателей GLP без средств. Через 16 дней это случилось.
Сообщается, что децентрализованная биржа (DEX) GMX пострадала от манипулирования ценами со стороны хакера, которому удалось украсть около 565 000 долларов США с рынка AVAX/USD.
Предполагается, что неизвестный злоумышленник извлек выгоду из функций «минимального спреда» и «нулевого воздействия на цену» GMX, чтобы осуществить эксплойт, который затронул держателей токенов GLP, которые предоставили GMX ликвидность в виде токена Avalanche (AVAX).
GMX подтвердила эксплойт манипулирования ценами в сообщении от 18 сентября в Твиттере, но заявила, что рынок AVAX/USD останется открытым, несмотря на ограничение в 2 миллиона долларов на длинные позиции и ограничение в 1 миллион долларов на короткие позиции.
«Мы были уведомлены о возможности манипулирования ценой AVAX/USD на эталонных биржах системами мониторинга и членами сообщества. Пока мы рассматриваем это событие, открытый интерес к AVAX был ограничен на уровне 2 млн долларов США в лонг и 1 млн долларов в шорт. Торговые рынки GLP и GMX продолжают работать в обычном режиме», – сообщила в твиттере GMX.
Глава отдела деривативов в Genesis Trading Джошуа Лим был одним из первых, кто проанализировал эксплойт, заявив, что злоумышленник «успешно извлек прибыль из рынка AVAX/USD GMX, открыв крупные позиции с нулевым проскальзыванием», прежде чем перевести AVAX/USD на централизованные биржи, где у токенов была чуть более высокая цена.
Лим сказал, что этот метод эксплойта был повторен пять раз, причем первый цикл вступил в силу в 01:15 UTC 18 сентября. Каждый цикл передавал более 200 000 токенов AVAX (примерно 4–5 миллионов долларов за цикл), при этом злоумышленник получил около 565 000 долларов прибыли после выплаты спреда маркет-мейкерам на других биржах.
«Прошлой ночью трейдер X успешно извлек прибыль из рынка GMX AVAX/USD, открыв крупные позиции с нулевым проскальзыванием, а затем переместив AVAX/USD на другие площадки в свою пользу. Это создало синусоидальный паттерн, длиной более часа, поскольку X переключался с длинной на короткую позицию 5 раз», – написал Джошуа Лим.
«Давайте посмотрим на первый цикл, который проходил с 01:15:31 до 01:28:11 UTC. Хакер смог получить примерно 158 тысяч долларов прибыли, торгуя клипами по 4-5 миллионов долларов за раз», – поясняет Лим.
«Он сделал это 5 раз (каждый раз с меньшим эффектом), так что, допустим, он извлек прибыль примерно в 500-700 тысяч долларов. При этом хакер платил спред маркет-мейкерам на других площадках, на которых они торговали, чтобы изменить цену AVAX, поэтому собранная чистая прибыль была меньше».
Однако Лим отметил, что это не было «эксплоитом», поскольку «GMX работал так, как задумано».
«Это не столько эксплоит, сколько GMX работает так, как задумано! X совершил крупные сделки против держателей GLP с нулевым проскальзыванием: по цене оракула без учета влияния цены. В реальном мире принятие риска требует, чтобы вы платили поставщикам ликвидности на противоположной стороне», – продолжил эксперт.
«Но почему злоумышленник эксплойтил GMX, а не FTX? Потому, что вы не можете торговать по цене оракула на FTX, вы платите некоторое проскальзывание при исполнении книги ордеров. Вы бы подняли цену с 17,95 до 20,25 долларов, чтобы купить 200 тысяч единиц AVAX-PERP. Таким образом, вы проиграете на FTX и на других площадках, куда вы перемещаете токены».
Технический аналитик «Duo Nine» добавил, что эксплуататор смог воспользоваться несколькими крупными сделками с держателями GLP, потому что фиксированные цены, предоставляемые оракулами, управляемыми Chainlink (LINK), не влияют на цену, что и сделало возможным использование манипулирования ценами.
«Если трейдеры получают прибыль, поставщики ликвидности проигрывают. Если трейдеры воспользуются этой уязвимостью, держатели GLP могут потерять все свои деньги!», – добавил эксперт.
В то время как GMX немедленно ограничил короткий и длинный открытый интерес к AVAX/USD, чтобы защитить DEX от дальнейших манипуляций, Лим сказал, что GMX, возможно, придется отказаться от своей функции «нулевого воздействия на цену», несмотря на то, что на сегодняшний день он успешно подключил многих пользователей.
«Настоящая проблема заключается в том, что GMX не отражает реальную стоимость ликвидности, как это делают другие площадки, он предлагает неограниченную ликвидность по средней цене оракула», – пояснил Лим.
Недавний эксплойт произошел всего через несколько недель после того, как основатель Layer-2 DEX ZigZag «Taureau» заявил в ходе видеоконференции 2 сентября, что он сомневается, что модель обмена GMX будет устойчивой в долгосрочной перспективе, добавив, что трейдер с правильной стратегией может уничтожить держатели токенов GLP:
«Создал ли GMX жизнеспособную систему в долгосрочной перспективе? Основатель ZigZag сомневается... и предсказывает, что в конечном итоге трейдер с правильной стратегией и подходящим размером уничтожит GLP», – говорится в анонсе видеоконференции.
Реакция сообщества
Эта новость вызвала неоднозначную реакцию сообщества GMX. Один пользователь Твиттера подчеркнул тот факт, что ни один смарт-контракт не фактически не был подвергунт эксплоиту, в то время как другой пользователь Твиттера спросил GMX, будет ли выплачена какая-либо компенсация затронутым держателям GLP.
На GMX поставщики ликвидности поставляют BTC, ETH, AVAX и стейблкоины в обмен на токен GLP. Протокол был запущен в конце 2021 года в масштабируемой сети Ethereum уровня 2 Arbitrum (ARB).
По данным CoinGecko, токен GMX (GMX) в настоящее время стоит 39,07 доллара, снизившись на 16,7% за последние 24 часа.