⛑️FN 熱點速遞丨GMX 被盜 4200 萬美元，DeFi 安全性到底該如何保障？ 7 月 9 日晚，鏈上再出大額被盜事件， @GMX_IO 被盜 4200 萬美元，整理下截至目前的最新進展及原因： 攻擊過程與資金流向 安全公司 @peckshield 和慢霧 @SlowMist_Team 分析表明，攻擊者利用了 GMX V1 在計算 AUM 處理邏輯中的一個缺陷。該缺陷導致合約在開設空頭倉位後立即更新全局平均價格。攻擊者藉此構建了定向操作路徑，實現代幣價格操控和套利贖回。 攻擊者將約 965 萬美元資產從 Arbitrum 轉移至以太坊，再兌換為 DAI 和 ETH。其中部分資金流入混幣協議 Tornado Cash。剩餘約 3200 萬美元資產仍在 Arbitrum 網絡中，涉及 FRAX、wBTC、DAI 等代幣。 在事件發生後，GMX 在鏈上向黑客地址進行喊話，請求返還 90% 的資金，願意提供 10% 的白帽賞金。而根據鏈上最新數據顯示，GMX 黑客已經把從 GMX V1 池盜取的資產換成 ETH。 黑客盜取的資產有 WBTC/WETH/UNI/FRAX/LINK/USDC/USDT，目前除 FRAX 外的其它資產都已經賣出換成了 11,700 枚 ETH（約合 3233 萬美元）並分散到了 4 個錢包進行存放。所以 GMX 黑客現在是通過 5 個錢包持有 11,700 枚的 ETH（約合 3233 萬美元）跟 1049.5 萬的 FRAX。價值約合 4280 萬美元。 餘燼分析稱，黑客的這番操作，應該也意味著拒絕了 GMX 項目方提出的償還資產拿 10% 白帽賞金的方案。 更多被攻擊細節傳送去看：