芝加哥期权交易所CBOE任命OCC前CEO Craig Donohue为下一任首席执行官
GMX 被盗 4200 万美元,DeFi 安全性到底该如何保障?
2025-07-11
156
撰文:ChandlerZ,ForesightNews
7月9日,去中心化交易平台GMX的V1系统在Arbitrum网络上遭遇攻击。攻击者利用合约内部的漏洞从GLP流动性池中转出大约4200万美元资产。GMX在事后已暂停该平台交易,并对GLP的铸造和赎回功能进行封锁。攻击未波及GMX的V2系统或原生代币,但该事件再次引发关于DeFi协议内部资产管理机制的讨论。
攻击过程与资金流向安全公司PeckShield和慢雾分析表明,攻击者利用了GMXV1在计算AUM处理逻辑中的一个缺陷。该缺陷导致合约在开设空头仓位后立即更新全局平均价格。攻击者借此构建了定向操作路径,实现代币价格操控和套利赎回。
攻击者将约965万美元资产从Arbitrum转移至以太坊,再兑换为DAI和ETH。其中部分资金流入混币协议TornadoCash。剩余约3200万美元资产仍在Arbitrum网络中,涉及FRAX、wBTC、DAI等代币。
在事件发生后,GMX在链上向黑客地址进行喊话,请求返还90%的资金,愿意提供10%的白帽赏金。而根据链上最新数据显示,GMX黑客已经把从GMXV1池盗取的资产换成ETH。
黑客盗取的资产有WBTC/WETH/UNI/FRAX/LINK/USDC/USDT,目前除FRAX外的其它资产都已经卖出换成了11,700枚ETH(约合3233万美元)并分散到了4个钱包进行存放。所以GMX黑客现在是通过5个钱包持有11,700枚的ETH(约合3233万美元)跟1049.5万的FRAX。价值约合4280万美元。
余烬分析称,黑客的这番操作,应该也意味着拒绝了GMX项目方提出的偿还资产拿10%白帽赏金的方案。
合约逻辑中的缺陷安全公司指出,攻击者并未依赖合约未授权访问或绕过权限控制,而是直接基于预期逻辑操作函数,并利用状态更新时间差在执行期内反复调用函数,即典型的重入操作。
慢雾称,这次袭击的根本原因在于GMXv1版本存在设计缺陷,空头仓位操作会立即更新全局空头平均价格(globalShortAveragePrices),这直接影响资产管理规模(AUM)的计算,从而导致GLP代币定价被操纵。攻击者利用Keeper在订单执行期间启用「timelock.enableLeverage」的功能(这是创建大量空头仓位的先决条件)来利用此设计漏洞。通过重入攻击,攻击者成功建立了大量空头仓位,操纵全局平均价格,在单笔交易中人为抬高GLP价格,并通过赎回操作获利。
这类攻击并非首次出现在DeFi项目中。合约处理余额或仓位更新滞后于资产铸造或赎回时,可能暴露出短暂的不一致状态,被攻击者构造操作路径并提取未抵押资产。
GMXV1使用共享资金池设计,由多个用户资产构成统一vault,由合约控制账户信息和流动性状态。GLP是该池的代表性LP代币,其价格和兑换比率由链上数据和合约逻辑动态计算。这类合成代币系统存在可观察的风险,包括套利空间放大、操控空间形成、状态跨调用间滞后等。
官方响应GMX官方在攻击发生后迅速发布声明,表示此次攻击仅影响V1系统及其GLP资金池。GMXV2、原生代币及其他市场未受影响。为防止后续可能攻击,团队已暂停V1上交易操作,禁用Arbitrum和Avalanche上的GLP铸造和赎回功能。
团队还声明其当前工作重点为恢复操作安全性和审计合约内部机制。V2系统未继承V1的逻辑结构,采用不同的清算、报价和仓位处理机制,风险敞口有限。
GMX代币在攻击发生后24小时内下跌超过17%,从约14.42美元最低跌至10.3美元,当前略有回升,现报11.78美元。该事件发生前,GMX全网累计交易量超过305亿美元,注册用户超过71万,未平仓合约规模超过2.29亿美元。
加密资产安全持续承压GMX攻击并非孤例。2025年以来,加密货币行业因黑客攻击累计损失已超过去年同期水平。虽然第二季度事件数量下降,但这并不意味着风险已经缓解。CertiK报告指出,2025年上半年,由黑客、诈骗和漏洞利用造成的总损失已超过24.7亿美元,较2024年被盗的24亿美元同比增长近3%。Bybit冷钱包被盗和CetusDEX遭入侵两起大规模共计造成总计17.8亿美元的损失,占全部损失的大部分。这种集中式大额盗窃说明高价值资产依然缺乏足够的隔离与冗余机制,平台设计的脆弱性仍未有效解决。
在攻击类型中,钱包入侵带来的经济损失最为严重。上半年共发生34起相关事件,导致约17亿美元资产被转出。相比于技术复杂的漏洞利用,钱包攻击多数通过社交工程、钓鱼链接或权限欺骗实现,技术门槛更低,却极具破坏力。黑客越来越倾向于针对用户终端的资产入口,尤其是在未启用多重验证或依赖热钱包的场景中。
同时,网络钓鱼攻击仍在快速增长,成为事件数量最多的手段。上半年共记录132起钓鱼攻击,累计造成4.1亿美元损失。攻击者通过伪造网页、合约交互界面或伪装的交易确认流程,引导用户误操作,实现私钥或授权权限的获取。攻击者正在不断调整策略,使钓鱼行为更难识别,用户端的安全意识和工具配备已成为关键防线。
