Автор: ChandlerZ, Foresight News
9 липня децентралізована біржа GMX зазнала атаки на свою систему V1 в мережі Arbitrum. Зловмисник скористався вразливістю всередині контракту, вивівши приблизно 42 мільйони доларів з ліквідності GLP. Після інциденту GMX призупинила торгівлю на платформі та заблокувала функції карбування та викупу GLP. Атака не вплинула на систему V2 GMX або рідний токен, але цей випадок знову викликав обговорення механізмів управління активами в DeFi-протоколах.
Процес атаки та рух коштів
Безпекова компанія PeckShield та SlowMist вказали, що зловмисники використали недолік у логіці обробки AUM GMX V1. Цей недолік призвів до того, що контракт негайно оновлював глобальну середню ціну після відкриття короткої позиції. Зловмисники використали це для створення цільових торгових шляхів, що дозволило їм маніпулювати ціною токенів та здійснювати арбітражний викуп.
Зловмисники перевели активи на суму близько 9,65 мільйона доларів з Arbitrum до Ethereum, а потім обміняли їх на DAI та ETH. Частина коштів потрапила в протокол змішування Tornado Cash. Решта активів на суму близько 32 мільйонів доларів все ще знаходяться в мережі Arbitrum, включаючи токени FRAX, wBTC, DAI та ін.
Після події GMX надіслав повідомлення на хакерську адресу, просячи повернути 90% коштів і пропонуючи 10% винагороди для білих капелюхів. За останніми даними з блокчейну, хакер GMX вже обміняв активи, вкрадені з GMX V1 пулу, на ETH.
Викрадені хакерами активи включають WBTC/WETH/UNI/FRAX/LINK/USDC/USDT, наразі, окрім FRAX, інші активи вже продані і обміняні на 11,700 ETH (приблизно 32,33 мільйона доларів) та розподілені на 4 гаманці для зберігання. Тому хакер GMX наразі володіє 11,700 ETH (приблизно 32,33 мільйона доларів) через 5 гаманців та 10,495,000 FRAX. Загальна вартість складає приблизно 42,80 мільйона доларів.
Аналіз залишків вказує на те, що дії хакерів, ймовірно, також означають відмову від пропозиції проекту GMX про повернення активів за 10% винагороди для білих капелюхів.
Недоліки в логіці контракту
Безпекова компанія зазначила, що зловмисники не покладалися на несанкціонований доступ до контракту або обходження контролю доступу, а безпосередньо використовували функції операцій на основі очікуваної логіки та використовували різницю в оновленні стану, щоб повторно викликати функцію протягом виконання, що є типовою повторною операцією.
Компанія Slow Mist стверджує, що корінна причина цієї атаки полягає в недоліках дизайну версії GMX v1, де операції з короткими позиціями негайно оновлюють глобальну середню ціну короткої позиції (globalShortAveragePrices), що безпосередньо впливає на розрахунок обсягу активів під управлінням (AUM), що призводить до маніпуляції ціною токена GLP. Зловмисники скористалися функцією «timelock.enableLeverage» під час виконання замовлення (що є передумовою для створення великої кількості коротких позицій), щоб скористатися цим недоліком дизайну. Через повторні атаки зловмисники успішно створили велику кількість коротких позицій, маніпулюючи глобальною середньою ціною, штучно підвищуючи ціну GLP в одній угоді і отримуючи прибуток через операції з викупом.
Цей тип атаки не є вперше в DeFi проектах. Коли контракти обробляють баланси або оновлення позицій, які відстають від створення або викупу активів, це може призвести до тимчасового несоответствия, яке зловмисники можуть використати, щоб створити операційний шлях і вилучити незабезпечені активи.
GMX V1 використовує дизайн спільного фонду, що складається з активів кількох користувачів, формуючи єдиний vault, контрольований контрактом, який управляє інформацією про рахунки та станом ліквідності. GLP є представницьким LP токеном цього пулу, чия ціна та обмінний курс динамічно розраховуються на основі даних з блокчейну та логіки контракту. Ця система синтетичних токенів має спостережувані ризики, включаючи розширення арбітражного простору, формування простору маніпуляцій, затримки між викликами стану тощо.
Офіційна відповідь
Офіційна заява GMX була опублікована відразу після атаки, в якій зазначалося, що атака вплинула лише на систему V1 та її GLP фондовий пул. GMX V2, рідний токен та інші ринки не постраждали. Щоб запобігти можливим атакам у майбутньому, команда призупинила торгові операції на V1 та вимкнула функції карбування та викупу GLP на Arbitrum і Avalanche.
Команда також заявила, що її поточний пріоритет полягає у відновленні безпеки операцій та аудиті внутрішніх механізмів контракту. Система V2 не успадкувала логічну структуру V1, використовуючи різні механізми ліквідації, котирування та обробки позицій, з обмеженим ризиковим експозицією.
Токен GMX впав більш ніж на 17% протягом 24 годин після атаки, з приблизно 14,42 доларів до найнижчого рівня 10,3 доларів, наразі трохи відновився і становить 11,78 доларів. Перед цим інцидентом загальний обсяг торгівлі GMX в мережі перевищив 30,5 мільярдів доларів, кількість зареєстрованих користувачів перевищила 710 тисяч, а обсяг незакритих контрактів перевищив 229 мільйонів доларів.
Безпека криптоактивів продовжує бути під тиском
Атака на GMX не є єдиною. З 2025 року криптовалютна індустрія зазнала втрат від хакерських атак, які вже перевищили рівень аналогічного періоду минулого року. Хоча в другому кварталі кількість інцидентів знизилася, це не означає, що ризики зменшилися. У звіті CertiK зазначається, що в першій половині 2025 року загальні втрати від хакерів, шахраїв і експлуатації вразливостей перевищили 2,47 мільярда доларів, що на близько 3% більше, ніж 2 мільярди доларів, вкрадені в 2024 році. Викрадення холодного гаманця Bybit та вторгнення в Cetus DEX завдали великих збитків загалом на 1,78 мільярда доларів, що становить більшу частину всіх втрат. Це зосереджене викрадення великих сум свідчить про те, що активи високої вартості досі не мають достатнього ізоляційного та резервного механізму, а вразливість дизайну платформ досі не була ефективно вирішена.
Серед типів атак найбільші економічні втрати завдає вторгнення в гаманці. За перше півріччя сталося 34 відповідних випадки, в результаті яких було виведено активи на суму близько 1,7 мільярда доларів. На відміну від технічно складних експлойтів, атаки на гаманці переважно здійснюються через соціальну інженерію, фішингові посилання або обман прав доступу, що має нижчий технічний поріг, але є надзвичайно руйнівним. Хакери все більше схиляються до атак на активи на кінцевих пристроях користувачів, особливо в ситуаціях, коли не активовано багаторівневу верифікацію або покладаються на гарячі гаманці.
Водночас, атаки фішингу продовжують швидко зростати, стаючи найпоширенішим способом скоєння злочинів. За перше півріччя було зафіксовано 132 випадки атак фішингу, які в сумі спричинили збитки у 4,1 мільярда доларів. Зловмисники, підробляючи веб-сторінки, інтерфейси взаємодії з контрактами або підроблені процеси підтвердження транзакцій, вводять користувачів в оману, сприяючи помилковим діям, що призводить до отримання приватних ключів або авторизаційних прав. Зловмисники постійно коригують свої стратегії, ускладнюючи виявлення фішингових дій, тому усвідомлення безпеки серед користувачів та оснащення інструментами стали ключовою лінією захисту.
