Des pirates informatiques spécialisés dans les cryptomonnaies dérobent 42 millions de dollars du pool de liquidités Arbitrum de GMX en plein jour

Malgré de multiples niveaux de contrôle, le pool GLP V1 de $GMX a été piraté, entraînant la perte de plus de 40 millions de dollars dans un exploit éhonté. Avec les fonctions de levier désormais gelées, les traders se demandent : comment des contrats audités ont-ils pu être piratés ? Et qu'est-ce que cela signifie pour l'avenir du trading perpétuel dans la DeFi ? Le 9 juillet, la bourse perpétuelle et au comptant on-chain $GMX a confirmé que son pool GLP V1 sur Arbitrum avait été exploité, avec plus de 40 millions de dollars de jetons assortis détournés vers un portefeuille inconnu en une seule transaction. L'attaque, qui semble avoir manipulé le mécanisme de coffre-fort GLP, a forcé le protocole à interrompre le trading et à suspendre la frappe et le rachat de GLP sur Arbitrum et Avalanche. $GMX a précisé que la violation était isolée à la V1 et n'avait pas d'impact sur $GMX V2, son jeton ou d'autres marchés associés. Bien que l'équipe $GMX n'ait pas encore divulgué le vecteur d'exploit exact, l'incident expose la fragilité même des contrats intelligents audités et soulève des questions urgentes sur la durabilité des marchés de levier décentralisés, où $GMX est depuis longtemps un acteur dominant. La méthode utilisée par l'attaquant pour drainer 40 millions de dollars du pool GLP V1 de $GMX était alarmante de simplicité, mais d'une efficacité dévastatrice. Selon les analystes de la blockchain, l'exploit impliquait de manipuler le mécanisme de levier du protocole pour frapper des jetons GLP excessifs sans garantie appropriée. Une fois que l'attaquant a artificiellement gonflé sa position, il a racheté le GLP frauduleusement frappé contre des actifs sous-jacents, laissant le pool à court de plus de 40 millions de dollars en quelques blocs. Les fonds ne sont pas restés inactifs longtemps. Selon Cyvers et Lookonchain, l'attaquant a utilisé un contrat malveillant financé par le biais de Tornado Cash pour masquer l'origine de l'exploit. Environ 9,6 millions de dollars du butin estimé à 42 millions de dollars ont été transférés d'Arbitrum à Ethereum à l'aide du Cross-Chain Transfer Protocol de Circle, et des portions ont été rapidement converties en DAI. 🚨ALERT🚨Notre système a détecté une transaction suspecte impliquant @GMX_IO. Un contrat malveillant, déployé par une adresse financée via @TornadoCash, a exploité environ 42 millions de dollars d'actifs sur le réseau Arbitrum ( #$ARB ) — y compris : $ETH , $USDC , $fsGLP , $DAI , $UNI ,… pic.twitter.com/x3B5OFMcyP Les actifs drainés comprenaient $ETH, $USDC, fsGLP, $DAI, $UNI, FRAX, $USDT, WETH et $LINK, ce qui en fait une attaque multi-actifs couvrant à la fois les jetons natifs et synthétiques. Avant le piratage, les contrats V1 de $GMX ont été examinés par les meilleurs cabinets d'audit. L'audit de pré-déploiement de Quantstamp a évalué les principaux risques tels que la réentrance et les contrôles d'accès, tandis qu'ABDK Consulting a effectué des tests de résistance supplémentaires. Pourtant, aucun des deux audits n'a signalé le vecteur de manipulation de levier spécifique qui a permis cet exploit. L'omission met en évidence un angle mort récurrent dans la sécurité de la DeFi : les audits ont tendance à se concentrer sur les vulnérabilités générales, mais passent souvent à côté des failles logiques spécifiques au protocole. Ironiquement, $GMX avait mis en place des mesures de protection proactives, notamment un programme de primes aux bogues de 5 millions de dollars et une surveillance active par des entreprises telles que Guardian Audits. Cet exploit ne fait pas qu'ébranler $GMX, il jette le doute sur le paradigme de sécurité axé sur l'audit dans son ensemble. Si un protocole aussi mature et éprouvé que $GMX peut perdre 40 millions de dollars à cause d'une faille logique, les implications pour les projets moins examinés sont profondément préoccupantes. Pendant ce temps, l'appel on-chain de $GMX au pirate informatique, offrant une prime de 10 % pour la restitution des fonds, souligne la dure réalité de la DeFi : les efforts de récupération reposent souvent sur la négociation avec les attaquants.