Автор: ChandlerZ, Форсайт Новости
9 июля децентрализованная торговая платформа GMX подверглась атаке на своей системе V1 в сети Arbitrum. Злоумышленник использовал уязвимость внутри контракта, чтобы вывести около 42 миллионов долларов из ликвидного пула GLP. После инцидента GMX приостановила торговлю на платформе и заблокировала функции эмиссии и выкупа GLP. Атака не затронула систему V2 GMX или её нативный токен, но этот инцидент вновь вызвал обсуждение механизмов управления активами внутри DeFi-протоколов.
Процесс атаки и направление движения средств
Безопасные компании PeckShield и SlowMist проанализировали, что злоумышленники использовали дефект в логике обработки AUM GMX V1. Этот дефект привел к тому, что контракт немедленно обновлял глобальную среднюю цену после открытия короткой позиции. Злоумышленники использовали это для создания целенаправленного операционного пути, что привело к манипуляции ценами токенов и арбитражному выкупу.
Злоумышленники перевели активы на сумму около 9,65 миллиона долларов с Arbitrum на Ethereum, а затем обменяли их на DAI и ETH. Часть средств поступила в смешивающий протокол Tornado Cash. Оставшиеся активы на сумму около 32 миллионов долларов все еще находятся в сети Arbitrum и связаны с токенами FRAX, wBTC, DAI и другими.
После инцидента GMX на блокчейне обратилась к хакерскому адресу с просьбой вернуть 90% средств, предлагая 10% в качестве вознаграждения белого хакера. Согласно последним данным на блокчейне, хакер GMX уже обменял активы, украденные из пула GMX V1, на ETH.
Активы, похищенные хакерами, включают WBTC/WETH/UNI/FRAX/LINK/USDC/USDT. В настоящее время, кроме FRAX, все остальные активы были проданы и обменяны на 11 700 ETH (примерно 32,33 миллиона долларов), которые были распределены по 4 кошелькам для хранения. Таким образом, хакер GMX в настоящее время владеет 11 700 ETH (примерно 32,33 миллиона долларов) и 10,495 миллиона FRAX через 5 кошельков. Общая стоимость составляет примерно 42,8 миллиона долларов.
Анализ Ember утверждает, что действия хакеров, вероятно, означают отказ от предложения команды проекта GMX вернуть активы и получить 10% вознаграждения для «белых шляп».
Недостатки в логике контракта
Безопасная компания указывает на то, что злоумышленники не полагались на несанкционированный доступ к контракту или обход контроля доступа, а вместо этого напрямую использовали ожидаемые логические операционные функции и использовали разницу во времени обновления состояния для многократного вызова функции в течение периода выполнения, то есть типичная операция повторного входа.
По словам Slow Mist, основная причина этой атаки заключается в том, что в версии GMX v1 есть недостатки в дизайне, операции с короткими позициями немедленно обновляют глобальную среднюю цену короткой позиции (globalShortAveragePrices), что напрямую влияет на расчет объема управления активами (AUM), что в свою очередь приводит к манипуляциям с ценой токенов GLP. Злоумышленники воспользовались функцией «timelock.enableLeverage», активированной Keeper в процессе исполнения заказов (это предварительное условие для создания большого количества коротких позиций), чтобы использовать этот уязвимый дизайн. С помощью атаки повторного входа злоумышленники успешно создали большое количество коротких позиций, манипулируя глобальной средней ценой, искусственно завысив цену GLP в одной транзакции и получив прибыль через операции выкупа.
Такие атаки не являются новыми для проектов DeFi. Когда контракты обрабатывают обновление баланса или позиций с задержкой по сравнению с созданием или выкупом активов, это может привести к временному несоответствию, которое злоумышленники могут использовать для создания операционных путей и извлечения незастрахованных активов.
GMX V1 использует дизайн общего пула ликвидности, который состоит из активов нескольких пользователей, образующих единый vault, контролируемый контрактом, содержащим информацию о счетах и состоянии ликвидности. GLP является представительным LP токеном этого пула, его цена и коэффициент обмена динамически рассчитываются на основе данных цепочки и логики контракта. Эта система синтетических токенов содержит наблюдаемые риски, включая увеличение арбитражного пространства, формирование пространства манипуляций, задержки между вызовами состояния и т.д.
Официальный ответ
Официальный GMX быстро выпустил заявление после атаки, в котором говорится, что данная атака затронула только систему V1 и ее пул средств GLP. GMX V2, родные токены и другие рынки не пострадали. Чтобы предотвратить возможные последующие атаки, команда приостановила операции по торговле на V1 и отключила функции чеканки и выкупа GLP на Arbitrum и Avalanche.
Команда также заявила, что в настоящее время ее основное внимание сосредоточено на восстановлении операционной безопасности и аудите внутренних механизмов контракта. Система V2 не унаследовала логическую структуру V1, использует разные механизмы ликвидации,报价 и обработки позиций, ограничивая риск.
Токен GMX упал более чем на 17% в течение 24 часов после атаки, снизившись с примерно 14,42 доллара до 10,3 доллара, в настоящее время немного восстановился и составляет 11,78 доллара. Перед этим событием общий объем торгов GMX в сети превысил 30,5 миллиарда долларов, зарегистрированных пользователей более 710 000, объем незакрытых контрактов превышает 229 миллионов долларов.
Безопасность криптоактивов продолжает испытывать давление
Атака на GMX не является единичным случаем. С 2025 года криптоиндустрия понесла более 24,7 миллиарда долларов убытков из-за хакерских атак, что превышает уровень аналогичного периода прошлого года. Хотя количество инцидентов во втором квартале снизилось, это не означает, что риски снизились. В отчете CertiK отмечено, что в первой половине 2025 года общие убытки, вызванные хакерами, мошенничеством и уязвимостями, составили более 24,7 миллиарда долларов, что на почти 3% больше, чем 24 миллиарда долларов, украденные в 2024 году. Кража холодного кошелька Bybit и вторжение в Cetus DEX в общей сложности привели к убыткам на сумму 17,8 миллиарда долларов, что составляет значительную часть всех убытков. Эта концентрация крупных краж показывает, что активы высокой ценности по-прежнему не имеют достаточной изоляции и механизмов резервирования, а уязвимости в дизайне платформы все еще не решены эффективно.
В типах атак наибольшие экономические потери вызывают атаки на кошельки. В первой половине года произошло 34 связанных инцидента, в результате которых было выведено около 1,7 миллиарда долларов активов. В отличие от технически сложных уязвимостей, атаки на кошельки чаще всего осуществляются с помощью социального инжиниринга, фишинговых ссылок или обмана полномочий, имея более низкий технический порог, но обладая высокой разрушительной силой. Хакеры все чаще склоняются к целенаправленным атакам на активы пользователей, особенно в сценариях, где не включена многофакторная аутентификация или используется горячий кошелек.
В то же время атаки с использованием фишинга продолжают быстро расти, становясь наиболее распространенным методом. В первой половине года было зафиксировано 132 атаки фишинга, что привело к общим убыткам в 410 миллионов долларов. Злоумышленники с помощью подделки веб-страниц, интерфейсов взаимодействия с контрактами или поддельных процессов подтверждения транзакций вводят пользователей в заблуждение, чтобы получить их приватные ключи или разрешения. Злоумышленники постоянно корректируют свои стратегии, делая фишинг сложнее для распознавания, и безопасность на стороне пользователя, а также наличие инструментов стали ключевой защитной линией.
