GMX a été volé pour 42 millions de dollars, comment assurer la sécurité de la Finance décentralisée ?

Rédaction : ChandlerZ, Foresight News

Le 9 juillet, le système V1 de la plateforme d’échange décentralisée GMX a été attaqué sur le réseau Arbitrum. L’attaquant a exploité une vulnérabilité interne dans le contrat pour retirer environ 42 millions de dollars d’actifs de la piscine de liquidité GLP. GMX a suspendu les transactions sur la plateforme après l’incident et a bloqué les fonctions de création et de rachat de GLP. L’attaque n’a pas affecté le système V2 de GMX ni son jeton natif, mais cet événement a de nouveau suscité des discussions sur les mécanismes de gestion des actifs internes des protocoles DeFi.

Processus d’attaque et flux de fonds

Les analyses de la société de sécurité PeckShield et de SlowMist montrent que les attaquants ont exploité un défaut dans la logique de traitement de calcul de l’AUM de GMX V1. Ce défaut a permis au contrat de mettre à jour immédiatement le prix moyen global après l’ouverture d’une position courte. Les attaquants ont construit un chemin d’opération ciblé pour manipuler le prix des tokens et réaliser des rachat d’arbitrage.

Un attaquant a transféré environ 9,65 millions de dollars d’actifs d’Arbitrum vers Ethereum, puis les a échangés contre DAI et ETH. Une partie des fonds a été dirigée vers le protocole de mixage Tornado Cash. Environ 32 millions de dollars d’actifs restent encore sur le réseau Arbitrum, impliquant des jetons tels que FRAX, wBTC, DAI.

Après l’incident, GMX a lancé un appel sur la chaîne à l’adresse du hacker, demandant le retour de 90 % des fonds, et offrant une prime de 10 % pour les hackers éthiques. Selon les dernières données sur la chaîne, le hacker de GMX a déjà échangé les actifs volés du pool GMX V1 contre de l’ETH.

Les actifs volés par les hackers comprennent WBTC/WETH/UNI/FRAX/LINK/USDC/USDT. À l’heure actuelle, tous les actifs sauf FRAX ont été vendus pour obtenir 11 700 ETH (environ 32,33 millions de dollars) et ont été répartis dans 4 portefeuilles pour leur stockage. Ainsi, les hackers de GMX détiennent maintenant 11 700 ETH (environ 32,33 millions de dollars) à travers 5 portefeuilles, ainsi que 10,495 millions de FRAX. La valeur totale est d’environ 42,8 millions de dollars.

L’analyse des cendres indique que cette opération par les hackers devrait également signifier le refus de la proposition de l’équipe du projet GMX de rembourser les actifs en échange d’une récompense de 10 % pour les hackers éthiques.

Défauts dans la logique des contrats

Les sociétés de sécurité ont indiqué que les attaquants ne s’appuyaient pas sur un accès non autorisé aux contrats ou sur le contournement des contrôles d’autorisation, mais agissaient directement sur des fonctions d’opération basées sur la logique attendue, en exploitant la différence de temps de mise à jour de l’état pour appeler la fonction de manière répétée pendant la période d’exécution, ce qui est un exemple typique d’attaque par réentrance.

Slow Mist a déclaré que la cause fondamentale de cette attaque réside dans le défaut de conception de la version GMX v1, où l’opération des positions à découvert met immédiatement à jour le prix moyen des ventes à découvert global (globalShortAveragePrices), ce qui affecte directement le calcul de l’échelle de gestion des actifs (AUM), entraînant ainsi une manipulation du prix des tokens GLP. Les attaquants ont exploité la fonctionnalité « timelock.enableLeverage » activée par Keeper pendant l’exécution des ordres (ce qui est une condition préalable à la création de nombreuses positions à découvert) pour tirer parti de cette faille de conception. Grâce à une attaque par réentrance, les attaquants ont réussi à établir un grand nombre de positions à découvert, manipulant le prix moyen global, augmentant artificiellement le prix des GLP dans une seule transaction, et réalisant un profit grâce à des opérations de rachat.

Ce type d’attaque n’apparaît pas pour la première fois dans les projets DeFi. Lorsque le contrat gère des mises à jour de solde ou de position en retard par rapport à la création ou au rachat d’actifs, cela peut exposer un état d’incohérence temporaire, que les attaquants peuvent exploiter pour construire un chemin d’opération et extraire des actifs non garantis.

Le GMX V1 utilise un design de pool de fonds partagés, composé des actifs de plusieurs utilisateurs formant un vault unifié, contrôlé par un contrat qui gère les informations de compte et l’état de liquidité. Le GLP est le jeton LP représentatif de ce pool, dont le prix et le taux de conversion sont calculés dynamiquement à partir des données on-chain et de la logique des contrats. Ce type de système de jetons synthétiques présente des risques observables, notamment l’amplification de l’espace d’arbitrage, la formation d’espace de manipulation et le retard dans les appels de statut entre les appels.

Réponse officielle

Le gouvernement de GMX a rapidement publié une déclaration après l’attaque, affirmant que cette attaque n’affectait que le système V1 et son pool de fonds GLP. GMX V2, le jeton natif et d’autres marchés n’ont pas été touchés. Afin de prévenir d’éventuelles attaques futures, l’équipe a suspendu les opérations de trading sur V1 et a désactivé les fonctions de minting et de rachat de GLP sur Arbitrum et Avalanche.

L’équipe a également déclaré que son objectif de travail actuel est de restaurer la sécurité opérationnelle et d’auditer les mécanismes internes des contrats. Le système V2 n’a pas hérité de la structure logique de V1, utilisant des mécanismes de liquidation, de cotation et de traitement des positions différents, avec une exposition au risque limitée.

Le jeton GMX a chuté de plus de 17% dans les 24 heures suivant l’attaque, passant d’environ 14,42 dollars à un minimum de 10,3 dollars, avant de légèrement rebondir pour se situer actuellement à 11,78 dollars. Avant cet événement, le volume total des transactions de GMX sur l’ensemble du réseau avait dépassé 30,5 milliards de dollars, avec plus de 710 000 utilisateurs inscrits et une taille de contrat non réglée dépassant 229 millions de dollars.

La sécurité des actifs cryptographiques continue d’être sous pression.

Les attaques contre GMX ne sont pas un cas isolé. Depuis 2025, l’industrie de la cryptomonnaie a subi des pertes cumulées dues à des attaques de hackers qui ont déjà dépassé le niveau de l’année précédente à la même période. Bien que le nombre d’incidents ait diminué au deuxième trimestre, cela ne signifie pas que les risques se sont atténués. Un rapport de CertiK indique qu’au premier semestre 2025, les pertes totales causées par des hackers, des fraudes et des exploitations de vulnérabilités ont dépassé 2,47 milliards de dollars, soit une augmentation de près de 3 % par rapport aux 2 milliards de dollars volés en 2024. Le vol du portefeuille froid de Bybit et l’intrusion de Cetus DEX ont causé à elles seules des pertes totales de 1,78 milliard de dollars, représentant la majeure partie de toutes les pertes. Ce vol massif et concentré indique que les actifs de grande valeur manquent toujours de mécanismes d’isolation et de redondance suffisants, et que les vulnérabilités dans la conception des plateformes n’ont pas encore été efficacement résolues.

Parmi les types d’attaques, les pertes économiques causées par les intrusions dans les portefeuilles sont les plus graves. Au cours du premier semestre, 34 incidents connexes ont été signalés, entraînant le transfert d’environ 1,7 milliard de dollars d’actifs. Par rapport aux exploits techniques complexes, les attaques de portefeuilles sont principalement réalisées par l’ingénierie sociale, des liens de phishing ou des escroqueries par usurpation d’identité, avec des barrières technologiques plus faibles mais un potentiel de destruction élevé. Les hackers tendent de plus en plus à cibler les points d’entrée des actifs des utilisateurs, en particulier dans les scénarios où la vérification multiple n’est pas activée ou lorsqu’ils s’appuient sur des portefeuilles chauds.

En même temps, les attaques de phishing continuent de croître rapidement, devenant le moyen le plus courant d’événements. Au cours du premier semestre, 132 attaques de phishing ont été enregistrées, causant une perte totale de 410 millions de dollars. Les attaquants guident les utilisateurs vers des erreurs d’opération en falsifiant des pages web, des interfaces d’interaction de contrat ou des processus de confirmation de transaction déguisés, afin d’obtenir des clés privées ou des droits d’autorisation. Les attaquants ajustent constamment leurs stratégies, rendant les comportements de phishing plus difficiles à identifier, et la sensibilisation à la sécurité et l’équipement d’outils du côté utilisateur sont devenus la première ligne de défense.