⛑️FN 熱點速遞丨$GMX 被盜 4200 萬美元，DeFi 安全性到底該如何保障？

7 月 9 日晚，鏈上再出大額被盜事件， @GMX_IO 被盜 4200 萬美元，整理下截至目前的最新進展及原因：

攻擊過程與資金流向

安全公司 @peckshield 和慢霧 @SlowMist_Team 分析表明，攻擊者利用了 $GMX V1 在計算 AUM 處理邏輯中的一個缺陷。該缺陷導致合約在開設空頭倉位後立即更新全局平均價格。攻擊者借此構建了定向操作路徑，實現代幣價格操控和套利贖回。

攻擊者將約 965 萬美元資產從 Arbitrum 轉移至以太坊，再兌換為 $DAI 和 $ETH。其中部分資金流入混幣協議 Tornado Cash。剩餘約 3200 萬美元資產仍在 Arbitrum 網路中，涉及 FRAX、$wBTC、$DAI 等代幣。

在事件發生後，$GMX 在鏈上向駭客地址進行喊話，請求返還 90% 的資金，願意提供 10% 的白帽賞金。而根據鏈上最新數據顯示，$GMX 駭客已經把從 $GMX V1 池盜取的資產換成 $ETH。

駭客盜取的資產有 WBTC/WETH/UNI/FRAX/LINK/USDC/USDT，目前除 FRAX 外的其它資產都已經賣出換成了 11,700 枚 $ETH（約合 3233 萬美元）並分散到了 4 個錢包進行存放。所以 $GMX 駭客現在是通過 5 個錢包持有 11,700 枚的 $ETH（約合 3233 萬美元）跟 1049.5 萬的 FRAX。價值約合 4280 萬美元。

餘燼分析稱，駭客的這番操作，應該也意味著拒絕了 $GMX 項目方提出的償還資產拿 10% 白帽賞金的方案。

更多被攻擊細節傳送去看：
https://t.co/JEX9pE2mKA