资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
我的关注
经过层层审查的GMX V1 GLP池仍遭4000万美元黑客攻击
尽管经过多重安全审查,GMX的V1 GLP池仍遭遇大胆黑客攻击,损失超过4000万美元。随着杠杆功能被冻结,交易者们不禁疑惑:经过审计的合约为何会出问题?这对DeFi永续交易的未来意味着什么?
攻击事件概况
7月9日,链上永续和现货交易平台GMX确认其Arbitrum上的V1 GLP池遭受攻击,价值超过4000万美元的各种代币在一次交易中被盗转入未知钱包。
这次攻击似乎利用了GLP金库机制的漏洞,迫使协议暂停交易,并停止在Arbitrum和Avalanche上铸造和赎回GLP。GMX澄清此次攻击仅限于V1版本,未影响GMX V2、其代币或其他关联市场。
审计为何未能阻止攻击
攻击者从GMX V1 GLP池中盗取4000万美元的路径令人震惊地简单却极其有效。据区块链分析师称,攻击者操纵协议的杠杆机制,在没有适当抵押的情况下铸造了过量的GLP代币。
当攻击者人为扩大其仓位后,他们将这些欺诈性铸造的GLP兑换为基础资产,导致资金池在几个区块内短缺超过4000万美元。
被盗资金并未闲置太久。据安全公司分析,攻击者使用通过Tornado Cash资助的恶意合约来掩盖攻击来源。约960万美元的被盗资金通过Circle的跨链传输协议从Arbitrum转移到以太坊,部分迅速转换为DAI。
被盗资产包括ETH、USDC、fsGLP、DAI、UNI、FRAX、USDT、WETH和LINK,这是一次涉及原生和合成代币的多资产攻击。
审计机制暴露的缺陷
在攻击发生前,GMX的V1合约已经过顶级审计公司的审查。Quantstamp的部署前审计评估了重入和访问控制等核心风险,ABDK咨询公司还进行了额外的压力测试。然而这些审计都未能发现导致此次攻击的特定杠杆操纵漏洞。
这一疏忽揭示了DeFi安全中的一个反复出现的盲点:审计往往关注普遍漏洞,却经常忽略协议特定的逻辑缺陷。讽刺的是,GMX已经采取了积极的安全措施,包括500万美元的漏洞赏金计划和由安全公司进行的主动监控。
这次攻击不仅损害了GMX,也对整个以审计驱动的安全模式提出了质疑。如果像GMX这样成熟且经过实战测试的协议都会因逻辑漏洞损失4000万美元,那么对那些审查较少的项目意味着什么就更令人担忧了。
后续影响
与此同时,GMX在链上向黑客发出呼吁,承诺返还10%资金作为悬赏,这凸显了DeFi的残酷现实:追回资金的努力往往依赖于与攻击者谈判。
