GMX dicuri 42 juta dolar, bagaimana sebenarnya keamanan Keuangan Desentralisasi harus dijamin?

Penulis: ChandlerZ, Berita Foresight

Pada 9 Juli, sistem V1 dari platform perdagangan terdesentralisasi GMX diserang di jaringan Arbitrum. Penyerang memanfaatkan kerentanan di dalam kontrak untuk menarik sekitar 42 juta dolar AS dari kolam likuiditas GLP. GMX setelahnya telah menghentikan perdagangan di platform tersebut dan mengunci fungsi pencetakan dan penebusan GLP. Serangan ini tidak mempengaruhi sistem V2 GMX atau token asli, tetapi kejadian ini sekali lagi memicu diskusi tentang mekanisme manajemen aset internal dalam protokol DeFi.

Proses serangan dan aliran dana

Perusahaan keamanan PeckShield dan analisis SlowMist menunjukkan bahwa penyerang memanfaatkan cacat dalam logika pemrosesan AUM GMX V1. Cacat ini menyebabkan kontrak segera memperbarui harga rata-rata global setelah membuka posisi short. Penyerang memanfaatkan ini untuk membangun jalur operasi terarah, mencapai manipulasi harga token dan penarikan arbitrase.

Penyerang memindahkan aset senilai sekitar 9,65 juta dolar AS dari Arbitrum ke Ethereum, kemudian menukarnya menjadi DAI dan ETH. Sebagian dari dana tersebut mengalir ke protokol pencampuran Tornado Cash. Sisa aset sekitar 32 juta dolar AS masih berada di jaringan Arbitrum, melibatkan token FRAX, wBTC, DAI, dan lainnya.

Setelah peristiwa terjadi, GMX di blockchain menghubungi alamat hacker, meminta pengembalian 90% dari dana, dan bersedia memberikan 10% sebagai hadiah untuk white hat. Namun, menurut data terbaru di blockchain, hacker GMX telah menukar aset yang dicuri dari kolam GMX V1 menjadi ETH.

Aset yang dicuri oleh hacker terdiri dari WBTC/WETH/UNI/FRAX/LINK/USDC/USDT. Saat ini, kecuali FRAX, aset lainnya telah dijual dan ditukar menjadi 11.700 ETH (sekitar 32,33 juta dolar AS) dan didistribusikan ke 4 dompet untuk disimpan. Jadi, hacker GMX sekarang memiliki 11.700 ETH (sekitar 32,33 juta dolar AS) dan 10,495,000 FRAX melalui 5 dompet. Nilai totalnya sekitar 42,8 juta dolar AS.

Analisis Yujin menyatakan bahwa tindakan hacker ini seharusnya juga berarti menolak tawaran dari pihak proyek GMX untuk mengembalikan aset dengan imbalan 10% dari hadiah pemburu bug.

Kekurangan dalam logika kontrak

Perusahaan keamanan menunjukkan bahwa penyerang tidak bergantung pada akses tidak sah ke kontrak atau menghindari kontrol akses, tetapi langsung berdasarkan fungsi operasi logika yang diharapkan, dan memanfaatkan perbedaan waktu pembaruan status untuk memanggil fungsi berulang kali selama periode eksekusi, yaitu operasi reentrancy yang khas.

Slow Mist menyatakan bahwa alasan mendasar dari serangan kali ini adalah adanya cacat desain pada versi GMX v1, di mana operasi posisi short akan segera memperbarui harga rata-rata short global (globalShortAveragePrices), yang langsung memengaruhi perhitungan ukuran manajemen aset (AUM), sehingga menyebabkan manipulasi harga token GLP. Penyerang memanfaatkan fungsi “timelock.enableLeverage” yang diaktifkan selama eksekusi pesanan (ini adalah prasyarat untuk menciptakan posisi short yang besar) untuk mengeksploitasi celah desain ini. Melalui serangan reentrancy, penyerang berhasil membangun sejumlah besar posisi short, memanipulasi harga rata-rata global, secara artifisial menaikkan harga GLP dalam satu transaksi, dan mendapatkan keuntungan melalui operasi penebusan.

Serangan semacam ini bukanlah yang pertama kali muncul dalam proyek DeFi. Ketika kontrak menangani saldo atau pembaruan posisi yang tertinggal dari pencetakan atau penebusan aset, hal ini dapat mengekspos keadaan inkonsisten yang sementara, yang dapat dimanfaatkan oleh penyerang untuk membangun jalur operasi dan mengekstrak aset yang belum dijaminkan.

GMX V1 menggunakan desain kolam dana bersama, yang terdiri dari aset pengguna yang membentuk vault yang bersatu, dengan informasi akun dan status likuiditas yang dikendalikan oleh kontrak. GLP adalah token LP representatif dari kolam ini, harga dan rasio konversinya dihitung secara dinamis berdasarkan data on-chain dan logika kontrak. Sistem token sintetis semacam ini memiliki risiko yang dapat diamati, termasuk pembesaran ruang arbitrase, terbentuknya ruang manipulasi, dan keterlambatan antar panggilan status.

respon resmi

GMX resmi dengan cepat mengeluarkan pernyataan setelah serangan terjadi, menyatakan bahwa serangan kali ini hanya memengaruhi sistem V1 dan kolam dana GLP-nya. GMX V2, token asli, dan pasar lainnya tidak terpengaruh. Untuk mencegah kemungkinan serangan selanjutnya, tim telah menghentikan operasi perdagangan di V1, menonaktifkan fungsi pencetakan dan penebusan GLP di Arbitrum dan Avalanche.

Tim juga menyatakan bahwa fokus kerja mereka saat ini adalah memulihkan keamanan operasional dan mengaudit mekanisme internal kontrak. Sistem V2 tidak mewarisi struktur logika V1, menggunakan mekanisme likuidasi, penawaran, dan pengelolaan posisi yang berbeda, dengan eksposur risiko yang terbatas.

Token GMX turun lebih dari 17% dalam 24 jam setelah serangan, dari sekitar 14,42 dolar menjadi 10,3 dolar, saat ini sedikit pulih, dilaporkan pada 11,78 dolar. Sebelum kejadian tersebut, total volume perdagangan GMX di seluruh jaringan melebihi 30,5 miliar dolar, dengan jumlah pengguna terdaftar lebih dari 710 ribu, dan ukuran kontrak yang belum diselesaikan melebihi 229 juta dolar.

Keamanan aset kripto terus tertekan

Serangan GMX bukanlah kejadian yang terisolasi. Sejak tahun 2025, industri cryptocurrency telah mengalami kerugian akibat serangan hacker yang telah melebihi tingkat tahun lalu. Meskipun jumlah kejadian pada kuartal kedua menurun, ini tidak berarti risiko telah mereda. Laporan CertiK menunjukkan bahwa pada paruh pertama tahun 2025, total kerugian akibat hacker, penipuan, dan eksploitasi telah melebihi 2,47 miliar dolar AS, meningkat hampir 3% dibandingkan dengan 2,4 miliar dolar AS yang dicuri pada tahun 2024. Pencurian dompet dingin Bybit dan serangan terhadap Cetus DEX telah menyebabkan total kerugian sebesar 1,78 miliar dolar AS, yang merupakan sebagian besar dari total kerugian. Pencurian besar terpusat ini menunjukkan bahwa aset bernilai tinggi masih kurang memiliki mekanisme isolasi dan redundansi yang memadai, dan kelemahan dalam desain platform masih belum teratasi secara efektif.

Dalam jenis serangan, kerugian ekonomi yang disebabkan oleh peretasan dompet adalah yang paling parah. Pada paruh pertama tahun ini, terjadi 34 insiden terkait, yang menyebabkan sekitar 1,7 miliar dolar aset dipindahkan. Dibandingkan dengan eksploitasi kerentanan yang secara teknis rumit, serangan dompet sebagian besar dilakukan melalui rekayasa sosial, tautan phishing, atau penipuan izin, dengan hambatan teknis yang lebih rendah tetapi sangat merusak. Para peretas semakin cenderung menargetkan pintu masuk aset di terminal pengguna, terutama dalam skenario di mana verifikasi ganda tidak diaktifkan atau bergantung pada dompet panas.

Sementara itu, serangan phishing terus meningkat dengan cepat, menjadi metode dengan jumlah insiden terbanyak. Pada paruh pertama tahun ini, tercatat 132 serangan phishing, yang menyebabkan kerugian total sebesar 4,1 juta dolar AS. Para penyerang menggunakan halaman web palsu, antarmuka interaksi kontrak, atau proses konfirmasi transaksi yang menyamar, untuk mengarahkan pengguna melakukan kesalahan, yang mengakibatkan pengambilan kunci pribadi atau izin otorisasi. Para penyerang terus menyesuaikan strategi mereka, membuat perilaku phishing semakin sulit dikenali, sehingga kesadaran keamanan dan perlengkapan alat di pihak pengguna menjadi garis pertahanan yang krusial.