Hack Perp DEX GMX để hoàn trả 44 triệu đô la cho những người nắm giữ Arbitrum GLP sau khi khai thác

Sàn giao dịch vĩnh viễn phi tập trung GMX cho biết hôm thứ Tư rằng người dùng bị vi phạm bảo mật vào tháng trước hiện có thể yêu cầu bồi thường thông qua dApp của mình.

"Khoảng 44 triệu đô la giá trị đang được phân phối, làm cho tất cả các chủ sở hữu Arbitrum GLP bị ảnh hưởng trở nên toàn vẹn và đánh dấu một giải pháp thuận lợi cho thách thức an ninh mà GMX phải đối mặt", dự án cho biết.

Khoản thanh toán kết hợp các khoản tiền thu hồi với 2 triệu đô la từ kho bạc của GMX.

Khai thác GMX V1 tiêu hao 42 triệu đô la thông qua lỗ hổng thao

Sự cố xảy ra vào ngày 9 tháng 7, khi nhóm GLP của GMX V1 trên Arbitrum bị khai thác với giá 42 triệu đô la.

Vào thời điểm đó, công ty bảo mật blockchain PeckShield cho rằng tổn thất này là do lỗ hổng tái nhập cho phép kẻ tấn công thao túng các tính toán tài sản được quản lý (AUM) của giao thức, cho phép họ rút nhiều hơn số tiền gửi của họ.

GMX cũng xác nhận rằng việc khai thác 42 triệu đô la là do lỗ hổng tái nhập trong các hợp đồng V1 của hãng.

Mặc dù chức năng bị ảnh hưởng được bảo vệ bởi một công cụ sửa đổi nonReentrant, nhưng nó chỉ áp dụng trong cùng một hợp đồng, cho phép kẻ tấn công vượt qua biện pháp bảo vệ này và thao túng giá bán trung bình BTC thông qua hợp đồng Vault.

Bằng cách khai thác lỗ hổng này, kẻ tấn công đã nhân tạo đẩy giá GLP lên và kiếm lợi nhuận bằng cách mua lại các token GLP bị thổi phồng sau khi mở một vị thế lớn bằng cách sử dụng khoản vay nhanh.

Lỗ hổng này gắn liền với cách GMX V1 xử lý tính toán giá trên các hợp đồng riêng biệt, một cấu trúc đã được sửa đổi trong GMX V2, nơi các tính toán và thực hiện hiện xảy ra trong cùng một hợp đồng để tránh những rủi ro như vậy.

Đáp lại, GMX đã tạm dừng giao dịch trên Avalanche, tham gia với các đối tác bảo mật và các nhà cung cấp cơ sở hạ tầng lớn, đồng thời bắt đầu giao tiếp trực tiếp trên chuỗi với kẻ khai thác.

Vài giờ sau vụ vi phạm, GMX đã gửi một tin nhắn trên chuỗi đề nghị tiền thưởng 10% nếu 90% số tiền bị đánh cắp được trả lại, một đề nghị mà kẻ tấn công chấp nhận.

Bồi thường sẽ được cấp trong GLV, sản phẩm kho thanh khoản nâng cấp của GMX cho V2. Những người yêu cầu đủ điều kiện sẽ nhận được các phần bằng nhau của GLV [BTC-USDC] và GLV [WETH-USDC], phản ánh khoảng 25% Bitcoin, 25% Ether và 50% stablecoin, phản ánh hỗn hợp tài sản GLP ban đầu.

Ngoài ra, GMX đã tung ra nhóm khuyến khích GLV trị giá 500.000 đô la cho những người dùng nắm giữ GLV được phân phối của họ trong ít nhất ba tháng mà không bán hoặc chuyển nhượng, cung cấp phần thưởng theo tỷ lệ cho những người nắm giữ dài hạn.

Các vụ hack tiền điện tử, lừa đảo khiến các nhà đầu tư thiệt hại 2,2 tỷ đô la trong nửa đầu năm 2025: Các

nhà đầu tư tiền điện tử CertiK đã mất hơn 2,2 tỷ đô la vì các vụ hack, lừa đảo và vi phạm trong nửa đầu năm 2025, chủ yếu do xâm phạm ví và các cuộc tấn công lừa đảo, theo báo cáo bảo mật mới nhất của CertiK.

riêng các vụ vi phạm ví đã gây ra thiệt hại 1,7 tỷ đô la chỉ trong 34 sự cố, trong khi lừa đảo lừa đảo chiếm hơn 410 triệu đô la trong 132 cuộc tấn công.

Hai sự cố lớn, bao gồm vụ hack 1,5 tỷ USD của Bybit vào tháng 2 và vụ khai thác 225 triệu USD của Cetus Protocol vào tháng 5, đã làm sai lệch khoản lỗ trong năm tăng lên, tổng cộng chiếm gần 1,78 tỷ USD.

Nếu không có những khoản này, khoản lỗ sẽ phù hợp hơn với những năm trước ở mức khoảng 690 triệu đô la.

Ethereum vẫn là mục tiêu chính, chịu thiệt hại hơn 1,6 tỷ đô la trong 175 sự kiện.

Báo cáo cũng chỉ ra sự tinh vi ngày càng tăng của các kế hoạch lừa đảo và rủi ro đang diễn ra từ kỹ thuật xã hội, thúc giục người dùng tiền điện tử xác minh liên kết, tránh các trang web đáng ngờ và sử dụng ví cứng.