加密貨幣駭客在光天化日之下從 GMX 的 Arbitrum 流動性池中盜取了 4200 萬美元

儘管經過多層審查，$GMX 的 V1 GLP 池在一次厚顏無恥的攻擊中被駭客入侵，損失超過 4000 萬美元。由於槓桿功能現在被凍結，交易者不禁要問：經過審計的合約是如何被破解的？這對 DeFi 的永續交易未來意味著什麼？7 月 9 日，鏈上永續和現貨交易所 $GMX 證實其在 Arbitrum 上的 V1 GLP 池遭到攻擊，價值超過 4000 萬美元的各種代幣在單筆交易中被吸入一個未知錢包。這次攻擊似乎操縱了 GLP 金庫機制，迫使該協議停止交易，並暫停在 Arbitrum 和 Avalanche 上鑄造和贖回 GLP。$GMX 澄清說，這次漏洞僅限於 V1，不會影響 $GMX V2、其代幣或其他相關市場。雖然 $GMX 團隊尚未透露確切的攻擊途徑，但該事件暴露了即使是經過審計的智能合約的脆弱性，並引發了關於去中心化槓桿市場可持續性的迫切問題，$GMX 長期以來一直是該市場的主導者。攻擊者從 $GMX 的 V1 GLP 池中耗盡 4000 萬美元的途徑令人震驚地簡單，但卻具有毀滅性的效果。根據區塊鏈分析師的說法，這次攻擊涉及操縱該協議的槓桿機制，以在沒有適當抵押品的情況下鑄造過多的 GLP 代幣。一旦攻擊者人為地抬高了他們的位置，他們就會用欺詐性鑄造的 GLP 贖回基礎資產，使資金池在幾個區塊內損失超過 4000 萬美元。這些資金並沒有閒置太久。根據 Cyvers 和 Lookonchain 的說法，攻擊者使用了一個通過 Tornado Cash 資助的惡意合約來掩蓋攻擊的來源。估計 4200 萬美元的贓款中，約有 960 萬美元使用 Circle 的跨鏈傳輸協議從 Arbitrum 橋接到 Ethereum，其中一部分迅速轉換為 $DAI。🚨ALERT🚨我們的系統檢測到一筆涉及 @GMX_IO 的可疑交易。一個由通過 @TornadoCash 資助的地址部署的惡意合約，已經在 Arbitrum ( #$ARB ) 網路上利用了大約 4200 萬美元的資產——包括：$ETH , $USDC , $fsGLP , $DAI , $UNI ,… pic.twitter.com/x3B5OFMcyP 被耗盡的資產包括 $ETH、$USDC、fsGLP、$DAI、$UNI、FRAX、$USDT、WETH 和 $LINK，這使得這次攻擊成為跨越原生和合成代幣的多資產攻擊。在駭客攻擊之前，$GMX 的 V1 合約已經過頂級審計公司的審查。Quantstamp 的部署前審計評估了諸如重入和訪問控制等核心風險，而 ABDK Consulting 進行了額外的壓力測試。然而，沒有任何審計標記出能夠實現這次攻擊的特定槓桿操縱途徑。這種疏忽突顯了 DeFi 安全中的一個反覆出現的盲點：審計傾向於關注一般漏洞，但往往會忽略特定於協議的邏輯缺陷。具有諷刺意味的是，$GMX 已經採取了積極的保護措施，包括 500 萬美元的漏洞賞金計劃和諸如 Guardian Audits 等公司的積極監控。這次攻擊不僅僅是破壞了 $GMX，它還對整個審計驅動的安全範例產生了懷疑。如果像 $GMX 這樣成熟且經過實戰考驗的協議會因為邏輯缺陷而損失 4000 萬美元，那麼對於那些不太受關注的項目來說，其影響令人深感擔憂。與此同時，$GMX 在鏈上呼籲駭客，提供 10% 的賞金以換取資金的返還，這突顯了 DeFi 的嚴酷現實：恢復工作通常依賴於與攻擊者談判。