Projekt DeFi GMX ma problem – został zhakowany na kwotę ponad 40 milionów USD. Eksperci zastanawiają się, jak dokładnie doszło do ataku.
- Giełda kryptowalut została zhakowana na 40 mln USD.
- Projekt był audytowany, mimo tego nie wykryto luk.
- Problemem okazała się dźwignia na giełdzie.
GMX okradzione
9 lipca zdecentralizowana giełda GMX potwierdziła, iż jej pula GLP V1 oparta na Arbitrum została wykorzystana przez przestępców do kradzieży tokenów o wartości ponad 40 milionów USD.
Atak doprowadził do wstrzymania handlu oraz wybijania i wymiany tokenów GLP zarówno na Arbitrum, jak i w sieci Avalanche.
GMX wyjaśniło, iż atak dotyczył wyłącznie wersji V1 i nie miał wpływu na GMX V2, jego token ani inne powiązane rynki.
Chociaż zespół GMX nie ujawnił szczegółów, incydent ten obnaża kruchość choćby audytowanych inteligentnych kontraktów i rodzi pilne pytania o stabilność zdecentralizowanych projektów.
Chodzi o to, iż droga atakującego do wykradzenia 40 milionów dolarów z puli GLP V1 GMX była niepokojąco prosta. Według analityków on-chain, exploit polegał na manipulowaniu mechanizmem dźwigni protokołu w celu wybicia nadmiernej liczby tokenów GLP, ale bez odpowiedniego zabezpieczenia.
Chodzi o to, iż gdy atakujący sztucznie zawyżył swoją pozycję, wymienił nieuczciwie wybite GLP na aktywa bazowe, pozostawiając pulę bez ponad 40 milionów USD. W ten sposób doszło do kradzieży.
🚨ALERT🚨Our system has detected a suspicious transaction involving @GMX_IO.
A malicious contract, deployed by an address funded via @TornadoCash, has exploited approximately $42M worth of assets on the Arbitrum (#ARB) network — including:$ETH, $USDC, $fsGLP, $DAI, $UNI,… pic.twitter.com/x3B5OFMcyP
— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) July 9, 2025
Według Cyvers i Lookonchain, atakujący uciekł już z tokenami – około 9,6 miliona USD w cyfrowych aktywach zostało przetransferowane z Arbitrum do Ethereum dzięki protokołu Cross-Chain Transfer Protocol firmy Circle, a część z nich została gwałtownie przekonwertowana na DAI.
Wśród wykradzionych aktywów znalazły się ETH, USDC, fsGLP, DAI, UNI, FRAX, USDT, WETH i LINK.
Projekt DeFi był sprawdzany przez różnych niezależnych ekspertów
Przed atakiem kontrakty GMX V1 zostały zweryfikowane przez czołowe firmy audytorskie.
Audyt przed wdrożeniem przeprowadzony przez Quantstamp ocenił najważniejsze ryzyka, a ABDK Consulting przeprowadziło dodatkowe testy obciążeniowe.
Jednak żaden z audytów nie wskazał na potencjalną manipulację dźwignią, co ostatecznie umożliwiło obecny exploit.
![Urząd wkracza do mieszkań. Kary i rachunki mogą zaskoczyć każdego [12.07.2025]](https://static.warszawawpigulce.pl/wp-content/uploads/2025/06/Uwaga-1-15.jpg)
