GMX bị đánh cắp 42 triệu USD, Tài chính phi tập trung an toàn ra sao?

Tác giả: ChandlerZ, Foresight News

Vào ngày 9 tháng 7, hệ thống V1 của nền tảng giao dịch phi tập trung GMX đã bị tấn công trên mạng Arbitrum. Kẻ tấn công đã lợi dụng lỗ hổng bên trong hợp đồng để chuyển khoảng 42 triệu đô la tài sản từ quỹ thanh khoản GLP. GMX sau đó đã tạm dừng giao dịch trên nền tảng này và khóa chức năng đúc và đổi GLP. Cuộc tấn công không ảnh hưởng đến hệ thống V2 của GMX hoặc token gốc, nhưng sự kiện này lại dấy lên cuộc thảo luận về cơ chế quản lý tài sản bên trong các giao thức DeFi.

Quá trình tấn công và dòng chảy tài chính

Công ty an ninh PeckShield và SlowMist phân tích cho thấy, kẻ tấn công đã lợi dụng một lỗi trong logic xử lý AUM của GMX V1. Lỗi này khiến hợp đồng cập nhật ngay lập tức giá trung bình toàn cầu sau khi mở vị thế bán. Kẻ tấn công đã xây dựng một lộ trình thao tác định hướng, thực hiện thao túng giá token và rút lợi nhuận từ việc chênh lệch giá.

Kẻ tấn công đã chuyển khoảng 9,65 triệu USD tài sản từ Arbitrum sang Ethereum, sau đó đổi thành DAI và ETH. Một phần tiền đã chảy vào giao thức trộn tiền Tornado Cash. Khoảng 32 triệu USD tài sản còn lại vẫn ở trong mạng Arbitrum, bao gồm các token như FRAX, wBTC, DAI.

Sau khi sự kiện xảy ra, GMX đã kêu gọi địa chỉ hacker trên chuỗi, yêu cầu trả lại 90% số tiền, sẵn sàng cung cấp 10% tiền thưởng cho người tìm ra lỗi. Theo dữ liệu mới nhất trên chuỗi, hacker của GMX đã đổi tài sản bị đánh cắp từ bể GMX V1 sang ETH.

Tài sản bị đánh cắp bởi hacker bao gồm WBTC/WETH/UNI/FRAX/LINK/USDC/USDT, hiện tại ngoài FRAX, các tài sản khác đã được bán ra và đổi thành 11,700 ETH (khoảng 32.33 triệu USD) và được phân tán vào 4 ví để lưu trữ. Vì vậy, hacker GMX hiện đang nắm giữ 11,700 ETH (khoảng 32.33 triệu USD) và 10.495 triệu FRAX thông qua 5 ví. Tổng giá trị khoảng 42.8 triệu USD.

Phân tích của Yujin cho thấy, hành động này của hacker có lẽ cũng có nghĩa là từ chối đề xuất của nhóm dự án GMX về việc hoàn trả tài sản để nhận 10% tiền thưởng trắng.

Lỗi trong logic hợp đồng

Công ty an ninh chỉ ra rằng, những kẻ tấn công không dựa vào việc truy cập trái phép vào hợp đồng hoặc vượt qua kiểm soát quyền hạn, mà trực tiếp dựa trên các chức năng thao tác logic dự kiến, và lợi dụng sự chênh lệch thời gian cập nhật trạng thái để gọi lại hàm nhiều lần trong thời gian thực thi, tức là thao tác gọi lại điển hình.

Màn Sương cho biết, nguyên nhân cơ bản của vụ tấn công lần này là do phiên bản GMX v1 có thiết kế lỗi, việc thực hiện các vị thế bán khống sẽ ngay lập tức cập nhật giá trung bình toàn cầu của vị thế bán khống (globalShortAveragePrices), điều này ảnh hưởng trực tiếp đến việc tính toán quy mô quản lý tài sản (AUM), dẫn đến việc giá của token GLP bị thao túng. Kẻ tấn công đã lợi dụng Keeper để kích hoạt chức năng “timelock.enableLeverage” trong thời gian thực hiện đơn hàng (đây là điều kiện tiên quyết để tạo ra một lượng lớn vị thế bán khống) nhằm khai thác lỗ hổng thiết kế này. Thông qua cuộc tấn công tái nhập, kẻ tấn công đã thành công trong việc thiết lập một lượng lớn vị thế bán khống, thao túng giá trung bình toàn cầu, đẩy giá GLP lên cao một cách nhân tạo trong một giao dịch và thu lợi qua các hoạt động thanh lý.

Các cuộc tấn công kiểu này không phải lần đầu xuất hiện trong các dự án DeFi. Khi hợp đồng xử lý số dư hoặc cập nhật vị thế chậm hơn so với việc đúc hoặc rút tài sản, có thể lộ ra trạng thái không nhất quán tạm thời, từ đó kẻ tấn công có thể tạo ra các đường dẫn thao tác và rút tài sản chưa được thế chấp.

GMX V1 sử dụng thiết kế hồ tiền chung, được tạo thành từ tài sản của nhiều người dùng tạo thành một vault thống nhất, với thông tin tài khoản và trạng thái thanh khoản được kiểm soát bởi hợp đồng. GLP là token LP đại diện cho hồ này, giá của nó và tỷ lệ hoán đổi được tính toán động dựa trên dữ liệu trên chuỗi và logic hợp đồng. Hệ thống token tổng hợp này tồn tại những rủi ro quan sát được, bao gồm việc mở rộng không gian arbitrage, hình thành không gian thao túng, độ trễ giữa các cuộc gọi trạng thái.

Phản hồi chính thức

GMX chính thức đã nhanh chóng phát hành tuyên bố sau khi vụ tấn công xảy ra, cho biết vụ tấn công này chỉ ảnh hưởng đến hệ thống V1 và quỹ GLP của nó. GMX V2, token gốc và các thị trường khác không bị ảnh hưởng. Để ngăn chặn các cuộc tấn công có thể xảy ra sau đó, đội ngũ đã tạm dừng các giao dịch trên V1, vô hiệu hóa chức năng đúc và đổi GLP trên Arbitrum và Avalanche.

Nhóm cũng tuyên bố rằng trọng tâm công việc hiện tại của họ là khôi phục tính an toàn của hoạt động và kiểm toán cơ chế nội bộ của hợp đồng. Hệ thống V2 không kế thừa cấu trúc logic của V1, áp dụng cơ chế thanh lý, báo giá và xử lý vị thế khác nhau, rủi ro bị hạn chế.

Token GMX đã giảm hơn 17% trong vòng 24 giờ sau khi xảy ra cuộc tấn công, từ mức khoảng 14.42 USD giảm xuống còn 10.3 USD, hiện tại đã phục hồi nhẹ, báo cáo ở mức 11.78 USD. Trước sự kiện này, tổng khối lượng giao dịch trên toàn mạng GMX đã vượt quá 30.5 tỷ USD, số lượng người dùng đăng ký vượt quá 710.000, quy mô hợp đồng mở chưa thanh toán vượt quá 229 triệu USD.

An toàn tài sản mã hóa tiếp tục chịu áp lực

Cuộc tấn công GMX không phải là trường hợp duy nhất. Kể từ năm 2025, ngành công nghiệp tiền điện tử đã chịu thiệt hại do các cuộc tấn công của hacker vượt quá mức cùng kỳ năm ngoái. Mặc dù số lượng sự kiện trong quý II đã giảm, nhưng điều này không có nghĩa là rủi ro đã giảm bớt. Báo cáo của CertiK cho biết, trong nửa đầu năm 2025, tổng thiệt hại do hacker, lừa đảo và khai thác lỗ hổng đã vượt quá 2,47 tỷ USD, tăng gần 3% so với 2,4 tỷ USD bị đánh cắp trong năm 2024. Việc ví lạnh của Bybit bị đánh cắp và cuộc xâm nhập vào Cetus DEX đã gây ra tổng thiệt hại lên tới 1,78 tỷ USD, chiếm phần lớn tổng thiệt hại. Những vụ trộm cắp lớn tập trung này cho thấy tài sản có giá trị cao vẫn thiếu cơ chế cách ly và dự phòng đầy đủ, và những điểm yếu trong thiết kế nền tảng vẫn chưa được giải quyết hiệu quả.

Trong các loại tấn công, thiệt hại kinh tế do xâm nhập ví là nghiêm trọng nhất. Trong nửa đầu năm, đã xảy ra 34 sự kiện liên quan, dẫn đến khoảng 1,7 tỷ đô la tài sản bị chuyển đi. So với các lỗ hổng phức tạp về kỹ thuật, các cuộc tấn công ví chủ yếu được thực hiện thông qua kỹ thuật xã hội, liên kết lừa đảo hoặc lừa đảo quyền truy cập, với rào cản kỹ thuật thấp hơn nhưng lại có khả năng phá hoại cao. Các hacker ngày càng có xu hướng nhắm vào các điểm truy cập tài sản của người dùng, đặc biệt là trong các tình huống không kích hoạt xác minh đa yếu tố hoặc phụ thuộc vào ví nóng.

Trong khi đó, các cuộc tấn công lừa đảo vẫn đang tăng nhanh, trở thành phương thức có số lượng sự kiện nhiều nhất. Trong nửa đầu năm, đã ghi nhận 132 cuộc tấn công lừa đảo, gây thiệt hại lên tới 410 triệu USD. Kẻ tấn công thông qua việc giả mạo trang web, giao diện tương tác hợp đồng hoặc quy trình xác nhận giao dịch giả mạo, dẫn dắt người dùng thao tác sai, từ đó thu thập khóa riêng hoặc quyền ủy quyền. Kẻ tấn công đang liên tục điều chỉnh chiến lược, khiến hành vi lừa đảo trở nên khó phát hiện hơn, nhận thức về an ninh và trang bị công cụ của người dùng đã trở thành tuyến phòng thủ quan trọng.