撰文:ChandlerZ,Foresight News
7 月 9 日,去中心化交易平台 GMX 的 V1 系统在 Arbitrum 网络上遭遇攻击。攻击者利用合约内部的漏洞从 GLP 流动性池中转出大约 4200 万美元资产。GMX 在事后已暂停该平台交易,并对 GLP 的铸造和赎回功能进行封锁。攻击未波及 GMX 的 V2 系统或原生代币,但该事件再次引发关于 DeFi 协议内部资产管理机制的讨论。
攻击过程与资金流向
安全公司 PeckShield 和慢雾分析表明,攻击者利用了 GMX V1 在计算 AUM 处理逻辑中的一个缺陷。该缺陷导致合约在开设空头仓位后立即更新全局平均价格。攻击者借此构建了定向操作路径,实现代币价格操控和套利赎回。
攻击者将约 965 万美元资产从 Arbitrum 转移至以太坊,再兑换为 DAI 和 ETH。其中部分资金流入混币协议 Tornado Cash。剩余约 3200 万美元资产仍在 Arbitrum 网络中,涉及 FRAX、wBTC、DAI 等代币。
在事件发生后,GMX 在链上向黑客地址进行喊话,请求返还 90% 的资金,愿意提供 10% 的白帽赏金。而根据链上最新数据显示,GMX 黑客已经把从 GMX V1 池盗取的资产换成 ETH。
黑客盗取的资产有 WBTC/WETH/UNI/FRAX/LINK/USDC/USDT,目前除 FRAX 外的其它资产都已经卖出换成了 11,700 枚 ETH(约合 3233 万美元)并分散到了 4 个钱包进行存放。所以 GMX 黑客现在是通过 5 个钱包持有 11,700 枚的 ETH(约合 3233 万美元)跟 1049.5 万的 FRAX。价值约合 4280 万美元。
余烬分析称,黑客的这番操作,应该也意味着拒绝了 GMX 项目方提出的偿还资产拿 10% 白帽赏金的方案。
合约逻辑中的缺陷
安全公司指出,攻击者并未依赖合约未授权访问或绕过权限控制,而是直接基于预期逻辑操作函数,并利用状态更新时间差在执行期内反复调用函数,即典型的重入操作。
慢雾称,这次袭击的根本原因在于 GMX v1 版本存在设计缺陷,空头仓位操作会立即更新全局空头平均价格(globalShortAveragePrices),这直接影响资产管理规模(AUM)的计算,从而导致 GLP 代币定价被操纵。攻击者利用 Keeper 在订单执行期间启用 「timelock.enableLeverage」 的功能(这是创建大量空头仓位的先决条件)来利用此设计漏洞。通过重入攻击,攻击者成功建立了大量空头仓位,操纵全局平均价格,在单笔交易中人为抬高 GLP 价格,并通过赎回操作获利。
这类攻击并非首次出现在 DeFi 项目中。合约处理余额或仓位更新滞后于资产铸造或赎回时,可能暴露出短暂的不一致状态,被攻击者构造操作路径并提取未抵押资产。
GMX V1 使用共享资金池设计,由多个用户资产构成统一 vault,由合约控制账户信息和流动性状态。GLP 是该池的代表性 LP 代币,其价格和兑换比率由链上数据和合约逻辑动态计算。这类合成代币系统存在可观察的风险,包括套利空间放大、操控空间形成、状态跨调用间滞后等。
官方响应
GMX 官方在攻击发生后迅速发布声明,表示此次攻击仅影响 V1 系统及其 GLP 资金池。GMX V2、原生代币及其他市场未受影响。为防止后续可能攻击,团队已暂停 V1 上交易操作,禁用 Arbitrum 和 Avalanche 上的 GLP 铸造和赎回功能。
团队还声明其当前工作重点为恢复操作安全性和审计合约内部机制。V2 系统未继承 V1 的逻辑结构,采用不同的清算、报价和仓位处理机制,风险敞口有限。
GMX 代币在攻击发生后 24 小时内下跌超过 17%,从约 14.42 美元最低跌至 10.3 美元,当前略有回升,现报 11.78 美元。该事件发生前,GMX 全网累计交易量超过 305 亿美元,注册用户超过 71 万,未平仓合约规模超过 2.29 亿美元。
加密资产安全持续承压
GMX 攻击并非孤例。2025 年以来,加密货币行业因黑客攻击累计损失已超过去年同期水平。虽然第二季度事件数量下降,但这并不意味着风险已经缓解。CertiK 报告指出,2025 年上半年,由黑客、诈骗和漏洞利用造成的总损失已超过 24.7 亿美元,较 2024 年被盗的 24 亿美元同比增长近 3%。Bybit 冷钱包被盗和 Cetus DEX 遭入侵两起大规模共计造成总计 17.8 亿美元的损失,占全部损失的大部分。这种集中式大额盗窃说明高价值资产依然缺乏足够的隔离与冗余机制,平台设计的脆弱性仍未有效解决。
在攻击类型中,钱包入侵带来的经济损失最为严重。上半年共发生 34 起相关事件,导致约 17 亿美元资产被转出。相比于技术复杂的漏洞利用,钱包攻击多数通过社交工程、钓鱼链接或权限欺骗实现,技术门槛更低,却极具破坏力。黑客越来越倾向于针对用户终端的资产入口,尤其是在未启用多重验证或依赖热钱包的场景中。
同时,网络钓鱼攻击仍在快速增长,成为事件数量最多的手段。上半年共记录 132 起钓鱼攻击,累计造成 4.1 亿美元损失。攻击者通过伪造网页、合约交互界面或伪装的交易确认流程,引导用户误操作,实现私钥或授权权限的获取。攻击者正在不断调整策略,使钓鱼行为更难识别,用户端的安全意识和工具配备已成为关键防线。