被駭客入侵的 Perp DEX GMX 在利用後向 Arbitrum GLP 持有者償還 $44M
去中心化永續交易所 GMX 週三表示,受上個月安全漏洞打擊的用戶現在可以通過其 dApp 要求賠償。
要點:
- GMX 正在分配 $44M,以全額補償受上個月 $42M 漏洞影響的 Arbitrum GLP 持有者。
- 此次違規源於 GMX V1 合約結構中的重入漏洞。
- 補償將以 GLV 代幣形式提供,持有至少三個月的用戶將獲得額外獎勵。
該專案表示:「大約 4400 萬美元的價值正在分配中,使所有受影響的 Arbitrum GLP 持有者變得完整,並標誌著 GMX 面臨的安全挑戰的有利解決方案。
這筆款項將收回的資金與 GMX 金庫的 200 萬美元相結合。
GMX V1 漏洞利用通過 AUM縱漏洞耗盡 $42M該
事件發生在 7 月 9 日,當時 GMX V1 在 Arbitrum 上的 GLP 池被利用 4200 萬美元。
當時,區塊鏈安全公司 PeckShield 將損失歸因於重入漏洞,該漏洞使攻擊者能夠縱協定的管理資產 (AUM) 計算,使他們能夠提取超過存款的金額。
#GMXDeveloper msg pic.twitter.com/miTaxE6OEj
— PeckShieldAlert (@PeckShieldAlert) 2025 年 7 月 9 日
GMX 還證實,這個價值 4200 萬美元的漏洞是由其 V1 合約中的重入漏洞引起的。
儘管受影響的功能受到 nonReentrant 修飾符的保護,但它僅適用於同一合約,允許攻擊者繞過這一保護措施,並通過 Vault 合約縱 BTC 平均空頭價格。
攻擊者利用這一漏洞,人為推高 GLP 價格,並在使用閃電貸開立大倉后贖回膨脹的 GLP 代幣來獲利。
該漏洞與 GMX V1 如何處理跨單獨合約的定價計算有關,這種結構在 GMX V2 中進行了修訂,現在計算和執行發生在同一合約中以避免此類風險。
作為回應,GMX 暫停了 Avalanche 上的交易,與安全合作夥伴和主要基礎設施供應商接觸,並啟動了與攻擊者的直接鏈上通信。
違規數小時后,GMX 發送了一條鏈上消息,如果 90% 的被盜資金被返還,將提供 10% 的白帽賞金,攻擊者接受了這一提議。
補償將以 GLV 發放,GLV 是 GMX 的 V2 升級流動性金庫產品。 符合條件的索賠人將獲得等量的 GLV [BTC-USDC] 和 GLV [WETH-USDC],其中大約 25% 是比特幣、25% 乙太幣和 50% 是穩定幣,反映了原始的 GLP 資產組合。
此外,GMX 還推出了 50 萬美元的 GLV 激勵池,用於持有其分配的 GLV 至少三個月且未出售或轉讓的使用者,為長期持有者提供按比例獎勵。
加密貨幣駭客攻擊、詐騙在 2025 年上半年使投資者損失了 $2.2B:根據 CertiK
的最新安全報告,2025 年上半年,加密貨幣投資者因駭客攻擊、詐騙和違規行為損失了超過 $22 億美元,這主要是由錢包洩露和網路釣魚攻擊推動的。
僅錢包洩露就造成了 17 億美元的損失,僅 34 起事件就造成了 132 起攻擊,而網路釣魚詐騙則在 132 起攻擊中造成了超過 4.1 億美元的損失。
兩起重大事件,包括 Bybit 2 月份 15 億美元的駭客攻擊和 5 月份 Cetus Protocol 的 2.25 億美元漏洞利用,使今年的損失向上傾斜,合計近 17.8 億美元。
如果沒有這些,損失將與前幾年更加接近,約為 6.9 億美元。
乙太坊仍然是主要目標,在175起事件中遭受了超過16億美元的損失。
該報告還指出,網路釣魚計劃日益複雜,社會工程帶來的持續風險,敦促加密貨幣使用者驗證連結、避開可疑網站並使用硬體錢包。