Hacket Perp DEX GMX for å tilbakebetale 44 millioner dollar til Arbitrum GLP-innehavere etter utnyttelse
Desentralisert evigvarelsesbørs GMX sa onsdag at brukere som ble rammet av forrige måneds sikkerhetsbrudd nå kan kreve kompensasjon gjennom dApp.
Viktige takeaways:
- GMX distribuerer 44 millioner dollar for å fullt ut kompensere Arbitrum GLP-innehavere som ble påvirket av forrige måneds utnyttelse på 42 millioner dollar.
- Bruddet stammet fra en reentrancy-sårbarhet i GMX V1s kontraktsstruktur.
- Kompensasjon vil være i GLV-tokens med ekstra belønninger for brukere som holder dem i minst tre måneder.
"Omtrent 44 millioner dollar i verdi blir distribuert, noe som gjør alle berørte Arbitrum GLP-innehavere hele og markerer en gunstig løsning på sikkerhetsutfordringen GMX sto overfor," sa prosjektet.
Utbetalingen kombinerer gjenvunnede midler med 2 millioner dollar fra GMXs statskasse.
GMX V1-utnyttelse tapper 42 millioner dollar via AUM-manipulasjonssårbarhet
Hendelsen skjedde 9.
På den tiden tilskrev blokkjedesikkerhetsfirmaet PeckShield tapet til en reentrancy-sårbarhet som lot angriperen manipulere protokollens eiendeler-under-forvaltning (AUM)-beregninger, slik at de kunne ta ut mer enn innskuddene sine.
#GMXDeveloper msg pic.twitter.com/miTaxE6OEj
— PeckShieldAlert (@PeckShieldAlert) Juli 9, 2025
GMX bekreftet også at utnyttelsen på 42 millioner dollar var forårsaket av en re-entrancy-sårbarhet i V1-kontraktene.
Selv om den berørte funksjonen var beskyttet av en ikke-Reentrant-modifikator, gjaldt den bare innenfor samme kontrakt, slik at angriperen kunne omgå denne beskyttelsen og manipulere BTCs gjennomsnittlige shortpris gjennom Vault-kontrakten.
Ved å utnytte dette smutthullet drev angriperen kunstig GLP-prisen opp og tjente på å løse inn oppblåste GLP-tokens etter å ha åpnet en stor posisjon ved hjelp av et flash-lån.
Sårbarheten var knyttet til hvordan GMX V1 håndterte prisberegninger på tvers av separate kontrakter, en struktur som har blitt revidert i GMX V2, der beregninger og utførelser nå skjer innenfor samme kontrakt for å unngå slike risikoer.
Som svar stoppet GMX handelen på Avalanche, engasjerte seg med sikkerhetspartnere og store infrastrukturleverandører, og startet direkte kommunikasjon på kjeden med utnytteren.
Timer etter bruddet sendte GMX en melding på kjeden som tilbød en dusør på 10 % hvis 90 % av de stjålne midlene ble returnert, et tilbud angriperen aksepterte.
Kompensasjon vil bli utstedt i GLV, GMXs oppgraderte likviditetshvelvprodukt for V2. Kvalifiserte fordringshavere vil motta like deler av GLV [BTC-USDC] og GLV [WETH-USDC], som gjenspeiler omtrent 25 % Bitcoin, 25 % Ether og 50 % stablecoins, noe som gjenspeiler den opprinnelige GLP-aktivablandingen.
I tillegg har GMX lansert en GLV-insentivpool på $500 000 for brukere som holder sin distribuerte GLV i minst tre måneder uten å selge eller overføre, og tilbyr pro-rata-belønninger til langsiktige innehavere.
Kryptohacks, svindel kostet investorer 2,2 milliarder dollar i H1 2025: CertiK
Crypto-investorer tapte over 2,2 milliarder dollar på hacks, svindel og brudd i første halvdel av 2025, i stor grad drevet av lommebokkompromitteringer og phishing-angrep, ifølge CertiKs siste sikkerhetsrapport.
Lommebokbrudd alene forårsaket 1,7 milliarder dollar i tap på bare 34 hendelser, mens phishing-svindel utgjorde over 410 millioner dollar fordelt på 132 angrep.
To store hendelser, inkludert Bybits hack på 1,5 milliarder dollar i februar og Cetus Protocols utnyttelse på 225 millioner dollar i mai, skjevt årets tap oppover, og utgjorde til sammen nesten 1,78 milliarder dollar.
Uten disse stemmer tapene tettere overens med tidligere år på rundt 690 millioner dollar.
Ethereum forble det primære målet, og led over 1,6 milliarder dollar i tap på tvers av 175 arrangementer.
Rapporten pekte også på økende sofistikering av phishing-opplegg og pågående risiko fra sosial manipulering, og oppfordret kryptobrukere til å verifisere lenker, unngå mistenkelige nettsteder og bruke maskinvarelommebøker.