暗号資産ハッカーが白昼堂々、GMXのArbitrum流動性プールから4200万ドルを盗む

幾重もの監視の目をかいくぐり、$GMXのV1 GLPプールが4000万ドル以上を不正に搾取されるという大胆なハッキングを受けました。レバレッジ機能が凍結された今、トレーダーたちは疑問に思っています。監査済みのコントラクトはどのようにして破られたのか？そして、これはDeFiのパーペチュアル取引の将来に何を意味するのか？7月9日、オンチェーンのパーペチュアルおよびスポット取引所である$GMXは、Arbitrum上のV1 GLPプールが不正利用され、4000万ドル相当の様々なトークンが単一のトランザクションで不明なウォレットに吸い上げられたことを認めました。この攻撃は、GLP vaultのメカニズムを操作したと見られ、プロトコルは取引を停止し、ArbitrumとAvalancheの両方でGLPのミントと償還を一時停止せざるを得なくなりました。$GMXは、今回の不正行為はV1に限定されたものであり、$GMX V2、そのトークン、またはその他の関連市場には影響を与えていないことを明らかにしました。$GMXチームはまだ正確なエクスプロイト・ベクターを公開していませんが、この事件は、監査済みのスマートコントラクトでさえ脆弱性があることを露呈し、$GMXが長年主要なプレーヤーであった分散型レバレッジ市場の持続可能性について、喫緊の疑問を投げかけています。攻撃者が$GMXのV1 GLPプールから4000万ドルを奪取するまでの道のりは、驚くほど単純でありながら、壊滅的な効果をもたらしました。ブロックチェーンのアナリストによると、このエクスプロイトは、プロトコルのレバレッジ・メカニズムを操作して、適切な担保なしに過剰なGLPトークンをミントすることを含んでいました。攻撃者は、いったんポジションを人為的に膨らませると、不正にミントされたGLPを基礎となる資産と交換し、プールは数ブロックのうちに4000万ドル以上不足することになりました。資金は長く放置されることはありませんでした。CyversとLookonchainによると、攻撃者はTornado Cashを通じて資金提供された悪意のあるコントラクトを使用して、エクスプロイトの出所を曖昧にしました。推定4200万ドルのうち、約960万ドルがCircleのCross-Chain Transfer Protocolを使用してArbitrumからEthereumにブリッジされ、その一部は速やかに$DAIに変換されました。🚨ALERT🚨当社のシステムは、@GMX_IOに関連する不審なトランザクションを検出しました。@TornadoCash経由で資金提供されたアドレスによってデプロイされた悪意のあるコントラクトが、Arbitrum（#$ARB）ネットワーク上で約4200万ドル相当の資産を不正利用しました。$ETH、$USDC、$fsGLP、$DAI、$UNI、... pic.twitter.com/x3B5OFMcyP 流出した資産には、$ETH、$USDC、fsGLP、$DAI、$UNI、FRAX、$USDT、WETH、$LINKが含まれており、これはネイティブ・トークンとシンセティック・トークンの両方にまたがるマルチアセット・ストライクとなっています。ハッキングされる前、$GMXのV1コントラクトは、トップ監査法人によってレビューされていました。Quantstampのデプロイ前監査では、再入可能性やアクセス制御などのコアリスクが評価され、ABDK Consultingは追加のストレステストを実施しました。しかし、どちらの監査も、このエクスプロイトを可能にした特定のレバレッジ操作ベクトルを指摘していませんでした。この見落としは、DeFiセキュリティにおける繰り返しの盲点を浮き彫りにしています。監査は一般的な脆弱性に焦点を当てる傾向がありますが、プロトコル固有のロジックの欠陥を見落とすことがよくあります。皮肉なことに、$GMXは500万ドルのバグ報奨金プログラムやGuardian Auditsなどの企業による積極的な監視など、積極的なセーフガードを導入していました。このエクスプロイトは、$GMXを弱体化させるだけでなく、監査主導のセキュリティ・パラダイム全体に疑問を投げかけています。$GMXほど成熟し、実戦でテストされたプロトコルが、ロジックの欠陥によって4000万ドルを失う可能性があるとすれば、監視の行き届いていないプロジェクトへの影響は深刻です。一方、$GMXがハッカーに資金の返還を求め、10％の報奨金を提示するというオンチェーンでの訴えは、DeFiの厳しい現実を浮き彫りにしています。回復の努力は、攻撃者との交渉に頼ることが多いのです。[Odaily Planet Daily]