GMX, un exchange decentralizzato, ha assegnato a Collider Research una ricompensa per bug da 1 milione di dollari nel 2022. Questo pagamento è stato un riconoscimento per la scoperta di un bug critico nei contratti intelligenti di GMX che ha influenzato direttamente il modo in cui il protocollo tiene traccia del debito in sospeso.
Il bug che colpisce GMX e GLP
GMX non ha fornito ulteriori informazioni su come è stato corretto il bug e quando. Tuttavia, l'operatore DEX ha affermato che il bug ha avuto un impatto negativo sui fornitori di liquidità (LP) GMX v1 poiché il codice ha portato a imprecisioni nelle quotazioni relative al "valore equo dei token". Nello specifico, il bug ha interessato il Global Liquidity Pool (GLP), facendolo deviare dal suo valore equo.
Poiché GMX supporta una leva finanziaria fino a 50X, un sistema tiene traccia del debito preso in prestito dai trader e di come viene rimborsato. È basato su contratti intelligenti e il trader si indebita per ogni posizione con leva finanziaria. Se i prezzi si muovono contro di loro, vengono liquidati e il margine che garantisce la posizione con leva finanziaria viene trasferito al protocollo.
Qualsiasi interruzione di questo meccanismo può influenzare gravemente GMX, incidendo sulle entrate e disincentivando i fornitori di liquidità dall’impegnarsi.
Nel settembre 2022, un difetto che ha colpito GLP e ha influito sulle funzionalità di "commissione minima" e "impatto zero sul prezzo" del DEX ha visto uno sfruttatore non identificato farsi strada con oltre $ 570.000 dal mercato AVAX/USD.
Implementando su Arbitrum, un livello 2, e Avalanche, una blockchain ad alto rendimento e a basse commissioni, il protocollo supporta lo swap a basse commissioni alimentato da GLP, un pool di liquidità che contiene tutti gli asset negoziati su GMX. Dal GLP, i fornitori di liquidità che avrebbero potuto essere colpiti in modo significativo possono guadagnare commissioni dalle commissioni di swap, dagli spread dal trading con leva finanziaria e ogni volta che si verifica un ribilanciamento delle attività.
Il programma Bounty può premiare fino a 5 milioni di dollari
Ulteriori dettagli mostrano che il programma bug bounty di GMX si concentra sul garantire che i contratti intelligenti e il funzionamento delle applicazioni siano progettati senza debolezze, considerando la natura trustless degli swap. L’obiettivo è prevenire il furto dei fondi degli utenti attraverso vari mezzi, inclusi trasferimenti non autorizzati, manipolazione dei prezzi di GLP, congelamento e altri vettori di minaccia.
Ogni volta che c'è un difetto e l'hacker bianco lo identifica, il programma bug bounty di GMX distribuirà ricompense in base alla gravità del difetto. Tuttavia, prima di essere esaminata e distribuita la ricompensa, qualsiasi richiesta deve essere accompagnata da un rapporto che dimostri l'impatto dell'errore del codice sul protocollo.
Anche così, in GMX, tutte le vulnerabilità critiche degli smart contract sono soggette a un limite del 10% sul potenziale danno che avrebbe causato. La ricompensa massima pagata agli sviluppatori che individuano difetti critici nel codice è di 5 milioni di dollari.