Зламана Perp DEX GMX виплатить $44 млн власникам Arbitrum GLP після експлойту

Децентралізована безстрокова біржа GMX заявила в середу, що користувачі, які постраждали від порушення безпеки минулого місяця, тепер можуть вимагати компенсацію через її dApp.

«Близько 44 мільйонів доларів США було розподілено, що робить усіх постраждалих власників Arbitrum GLP цілими та знаменує сприятливе вирішення проблеми безпеки, з якою зіткнулася GMX», — йдеться в проекті.

Виплата поєднує повернуті кошти з 2 мільйонами доларів зі скарбниці GMX.

Експлойт GMX V1 зливає $42 млн через вразливість AUM Manipulation

Інцидент стався 9 липня, коли пул GLP GMX V1 на Arbitrum був використаний на $42 млн.

У той час компанія з безпеки блокчейну PeckShield пояснила збитки вразливістю до повторного входу, яка дозволила зловмиснику маніпулювати розрахунками протоколу про активи під управлінням (AUM), що дозволило їм зняти більше, ніж їхні депозити.

GMX також підтвердила, що експлойт на суму 42 мільйони доларів був викликаний вразливістю повторного входу в її контрактах V1.

Незважаючи на те, що постраждала функція була захищена модифікатором без повторного входу, вона застосовувалася лише в межах одного контракту, що дозволяло зловмиснику обійти цей захист і маніпулювати середньою короткою ціною BTC за допомогою контракту Vault.

Використовуючи цю лазівку, зловмисник штучно підняв ціну GLP вгору та отримав прибуток за рахунок викупу завищених токенів GLP після відкриття великої позиції за допомогою миттєвої позики.

Вразливість була пов'язана з тим, як GMX V1 обробляла розрахунки ціноутворення за окремими контрактами, структура, яка була переглянута в GMX V2, де розрахунки та виконання тепер відбуваються в межах одного контракту, щоб уникнути таких ризиків.

У відповідь GMX призупинила торгівлю Avalanche, взаємодіяла з партнерами з безпеки та великими постачальниками інфраструктури та ініціювала прямий ончейн-зв'язок з експлуататором.

Через кілька годин після злому GMX надіслав повідомлення в ланцюжку, пропонуючи винагороду в розмірі 10% білого капелюха, якщо 90% вкрадених коштів буде повернуто, і зловмисник прийняв пропозицію.

Компенсація буде виплачена в GLV, оновленому продукті GMX для сховища ліквідності для V2. Відповідні заявники отримають рівні частки GLV [BTC-USDC] і GLV [WETH-USDC], що відображає приблизно 25% Bitcoin, 25% Ether і 50% стейблкоїнів, що відображає оригінальний набір активів GLP.

Крім того, GMX запустила пул заохочень у розмірі 500 000 доларів GLV для користувачів, які зберігають свої розподілені GLV принаймні три місяці без продажу чи передачі, пропонуючи пропорційні винагороди довгостроковим власникам.

Криптохакери та шахрайство коштували інвесторам 2,2 мільярда доларів у першому півріччі 2025 року: Згідно

останнім звітом про безпеку CertiK, криптоінвестори втратили понад 2,2 мільярда доларів через хакери, шахрайство та злами в першій половині 2025 року, в основному через компрометацію гаманця та фішингові атаки.

Лише витоки гаманця завдали збитків на 1,7 мільярда доларів США лише в 34 інцидентах, тоді як фішингові шахрайства склали понад 410 мільйонів доларів у 132 атаках.

Два великі інциденти, включаючи злом Bybit на $1,5 млрд у лютому та експлойт Cetus Protocol на $225 млн у травні, спотворили збитки року в бік збільшення, разом склавши майже $1,78 млрд.

Без цього збитки більше відповідають попереднім рокам і становлять близько $690 млн.

Ethereum залишався основною метою, зазнавши збитків на суму понад 1,6 мільярда доларів США за 175 подій.

У звіті також вказується на зростаючу складність фішингових схем і поточні ризики з боку соціальної інженерії, закликаючи користувачів криптовалют перевіряти посилання, уникати підозрілих сайтів і використовувати апаратні гаманці.