تم سرقة 42 مليون دولار من GMX، كيف يمكن ضمان أمان التمويل اللامركزي؟

كتبه: تشاندلر زد، أخبار فوريسايت

في 9 يوليو، تعرض نظام V1 الخاص بمنصة التداول اللامركزية GMX لهجوم على شبكة Arbitrum. استغل المهاجمون ثغرات داخل العقد لسحب أصول تبلغ حوالي 42 مليون دولار من بركة السيولة GLP. بعد الحادث، قامت GMX بتعليق التداول على المنصة، وأغلقت وظائف سك واسترداد GLP. لم يتأثر نظام V2 الخاص بـ GMX أو الرموز الأصلية، لكن الحادث أثار مرة أخرى مناقشات حول آلية إدارة الأصول الداخلية في بروتوكولات DeFi.

عملية الهجوم وتدفق الأموال

أظهرت شركة الأمن PeckShield وتحليل SlowMist أن المهاجمين استغلوا عيبًا في منطق معالجة حساب AUM في GMX V1. أدى هذا العيب إلى تحديث السعر المتوسط العالمي على الفور بعد فتح مركز قصير. استغل المهاجمون ذلك لبناء مسار عمليات موجه، مما مكنهم من التلاعب بأسعار الرموز واسترداد الأرباح.

قام المهاجمون بنقل حوالي 9.65 مليون دولار من الأصول من Arbitrum إلى Ethereum، ثم قاموا بتحويلها إلى DAI و ETH. جزء من هذه الأموال تدفق إلى بروتوكول خلط العملات Tornado Cash. لا يزال حوالي 32 مليون دولار من الأصول في شبكة Arbitrum، تشمل رموز مثل FRAX و wBTC و DAI.

بعد وقوع الحدث، قامت GMX بإرسال رسالة إلى عنوان القراصنة على السلسلة، تطلب منهم إعادة 90% من الأموال، مع استعدادها لتقديم 10% كمكافأة للقبعات البيضاء. وحسب أحدث البيانات على السلسلة، فقد قام قراصنة GMX بتحويل الأصول المسروقة من مجموعة GMX V1 إلى ETH.

تمت سرقة الأصول من قبل الهاكرز وهي WBTC/WETH/UNI/FRAX/LINK/USDC/USDT، وقد تم بيع جميع الأصول باستثناء FRAX وتحويلها إلى 11,700 ETH (حوالي 32.33 مليون دولار) وتم توزيعها في 4 محافظ للتخزين. لذا فإن هاكر GMX يمتلك الآن 11,700 ETH (حوالي 32.33 مليون دولار) و 10.495 مليون FRAX من خلال 5 محافظ. القيمة الإجمالية حوالي 42.8 مليون دولار.

تحليل يوجين يعتقد أن هذه الخطوة من القراصنة تعني أيضًا أنهم رفضوا اقتراح فريق مشروع GMX بسداد الأصول مقابل 10% من مكافأة القبعة البيضاء.

عيوب منطق العقد

أشارت الشركة الأمنية إلى أن المهاجمين لم يعتمدوا على الوصول غير المصرح به للعقد أو تجاوز التحكم في الأذونات، بل قاموا مباشرةً بعمليات على وظائف المنطق المتوقع، واستفادوا من فارق التوقيت في تحديث الحالة لاستدعاء الوظائف مرارًا وتكرارًا خلال فترة التنفيذ، وهو ما يمثل عملية إعادة دخول نموذجية.

تقول شركة مان وو إن السبب الجذري لهذا الهجوم هو وجود عيب تصميمي في إصدار GMX v1، حيث إن عمليات فتح مراكز البيع على المكشوف ستقوم بتحديث متوسط السعر العالمي للقصير (globalShortAveragePrices) على الفور، مما يؤثر بشكل مباشر على حساب حجم إدارة الأصول (AUM)، مما يؤدي إلى التلاعب في تسعير رموز GLP. استغل المهاجمون وظيفة “timelock.enableLeverage” التي تم تفعيلها خلال تنفيذ الطلبات (وهي شرط مسبق لإنشاء كميات كبيرة من مراكز البيع على المكشوف) لاستغلال هذا الثغرة التصميمية. من خلال هجوم إعادة الدخول، تمكن المهاجمون من إنشاء كميات كبيرة من مراكز البيع على المكشوف، مما أدى إلى التلاعب في السعر المتوسط العالمي، ورفع سعر GLP بشكل مصطنع في صفقة واحدة، وجني الأرباح من خلال عمليات الاسترداد.

لم تكن هذه النوعية من الهجمات جديدة على مشاريع DeFi. عندما يتأخر العقد في معالجة التوازنات أو تحديثات المراكز مقارنةً بعملية سك الأصول أو استردادها، فقد يكشف ذلك عن حالة عدم اتساق مؤقتة، مما يسمح للمهاجمين بإنشاء مسارات عمليات وسحب الأصول غير المضمونة.

تصميم GMX V1 يستخدم تجمعات الأموال المشتركة المكونة من أصول متعددة من المستخدمين تشكل خزينة موحدة، بينما تتحكم العقود في معلومات الحساب وحالة السيولة. GLP هو رمز LP التمثيلي لهذا التجمع، حيث يتم حساب سعره ونسبة تبادله ديناميكياً بناءً على بيانات السلسلة ومنطق العقود. توجد مخاطر ملحوظة في نظام الرموز التركيبية هذا، بما في ذلك تضخيم مساحة التحكيم، وتشكيل مساحة التحكم، والتأخير بين استدعاءات الحالة.

استجابة رسمية

أصدرت GMX بيانًا سريعًا بعد الهجوم، حيث ذكرت أن هذا الهجوم أثر فقط على نظام V1 وحوض GLP الخاص به. لم تتأثر GMX V2 والرموز الأصلية والأسواق الأخرى. لمنع أي هجمات محتملة في المستقبل، قام الفريق بتعليق عمليات التداول على V1، وتفعيل تعطيل وظيفة سك واسترداد GLP على Arbitrum وAvalanche.

أعلنت الفريق أيضًا أن تركيزه الحالي هو استعادة أمان العمليات وتدقيق آليات العقود الداخلية. نظام V2 لم يرث الهيكل المنطقي لـ V1، حيث يعتمد على آليات تسوية وتسعير ومعالجة مراكز مختلفة، مع تعرض محدود للمخاطر.

انخفضت عملة GMX بأكثر من 17% خلال 24 ساعة بعد الهجوم، من حوالي 14.42 دولار إلى أدنى مستوى بلغ 10.3 دولار، وارتفعت قليلاً حالياً، حيث تبلغ 11.78 دولار. قبل هذا الحدث، تجاوز حجم تداول GMX الإجمالي 30.5 مليار دولار، وبلغ عدد المستخدمين المسجلين أكثر من 710,000، وحجم العقود المفتوحة تجاوز 229 مليون دولار.

تستمر ضغوط الأمان على الأصول المشفرة

إن هجوم GMX ليس حالة منعزلة. منذ عام 2025، تجاوزت خسائر صناعة العملات المشفرة بسبب الهجمات الإلكترونية المستويات المسجلة في نفس الفترة من العام الماضي. وعلى الرغم من انخفاض عدد الحوادث في الربع الثاني، إلا أن ذلك لا يعني أن المخاطر قد انحسرت. تشير تقارير CertiK إلى أن إجمالي الخسائر الناجمة عن القراصنة والاحتيال واستغلال الثغرات في النصف الأول من عام 2025 قد تجاوز 2.47 مليار دولار، بزيادة تقارب 3% مقارنة بـ 2.4 مليار دولار المسروقة في عام 2024. أدت سرقة محفظة Bybit الباردة واقتحام Cetus DEX إلى خسائر ضخمة بلغت 1.78 مليار دولار، مما يمثل الجزء الأكبر من إجمالي الخسائر. تشير هذه السرقات الكبيرة المركزية إلى أن الأصول عالية القيمة لا تزال تفتقر إلى آليات عزل وازدواجية كافية، وأن نقاط الضعف في تصميم المنصات لم يتم معالجتها بفعالية.

في أنواع الهجمات، تعتبر الخسائر الاقتصادية الناتجة عن اختراق المحفظة الأكثر خطورة. في النصف الأول من العام، وقع 34 حادثًا متعلقًا بذلك، مما أدى إلى تحويل أصول تقدر بحوالي 1.7 مليار دولار. مقارنةً باستغلال الثغرات التقنية المعقدة، تُنفذ هجمات المحفظة في الغالب من خلال الهندسة الاجتماعية، أو الروابط الاحتيالية، أو خداع الأذونات، مما يجعلها أقل تعقيدًا من الناحية التقنية، لكنها ذات تأثير مدمر. يميل القراصنة بشكل متزايد إلى استهداف نقاط دخول الأصول على الأجهزة النهائية للمستخدمين، خاصة في السيناريوهات التي لم يتم فيها تفعيل التحقق المتعدد أو الاعتماد على المحافظ الساخنة.

في الوقت نفسه، لا تزال هجمات التصيد تتزايد بسرعة، مما يجعلها الوسيلة الأكثر شيوعًا في عدد الحوادث. تم تسجيل 132 هجمة تصيد في النصف الأول من العام، مما أدى إلى خسائر إجمالية قدرها 4.1 مليون دولار. يقوم المهاجمون بتوجيه المستخدمين إلى أخطاء من خلال تزييف صفحات الويب أو واجهات تفاعل العقود أو عمليات تأكيد المعاملات المموهة، مما يمكنهم من الحصول على مفاتيح خاصة أو صلاحيات تفويض. يقوم المهاجمون بتعديل استراتيجياتهم باستمرار، مما يجعل سلوكيات التصيد أكثر صعوبة في التعرف عليها، وأصبح وعي المستخدم بالأمان وتجهيز الأدوات الدفاعية خط الدفاع الرئيسي.