loading...
近日,去中心化金融协议GMX遭遇一次重大安全攻击事件,攻击者利用合约中的可重入漏洞成功盗取约4200万美元资产。该事件引发市场对DeFi协议安全性的广泛关注,也再次凸显复杂智能合约在实际应用中潜在的风险。
根据Beosin安全团队的深入分析,攻击者首先瞄准OrderBook合约中executeDecreaseOrder函数的保证金退还机制,通过构造重入调用绕过Timelock合约的杠杆开关控制,实现非法操作。
随后,攻击者借助闪电贷借入USDC进行质押,以铸造GLP(Gmx Liquidity Pool代币),同时以USDC为保证金建立大量BTC空头仓位。这一行为人为推高了GLPmanager合约的资产管理规模(AUM)值,而该数值直接影响GLP的价格计算逻辑,造成价格异常膨胀。
最终,攻击者以被虚高的价格赎回大量GLP,并迅速兑换为其他代币完成套现,实现巨额获利。
本次事件暴露出多个关键安全缺陷:
尽管GMX此前已通过多轮第三方审计,但此类极端场景下的重入风险仍被忽略。这表明当前主流审计流程仍难以覆盖所有边界条件,尤其在涉及跨合约交互与时间依赖逻辑时。
Beosin Trace基于区块链分析技术对攻击者地址0x7d3bd50336f64b7a473c51f54e7f0bd6771cc355展开追踪,确认其总获利约4200万美元。
攻击者将部分资产通过多个DeFi协议转换为ETH和USDC,再经由跨链桥转移至Ethereum主网。截至目前,约3200万美元的ETH已被存放在以下四个以太坊地址中:
另有约1000万美元资产存放于Arbitrum网络地址0xdf3340a436c27655ba62f8281565c9925c3a5221中。
所有被盗资金目前仍处于分散存储状态,未发生大规模转移。Beosin已将相关地址列入黑地址库,将持续监测后续动向。
此次事件揭示了当前DeFi生态在协议设计与安全验证方面的深层挑战。对于像GMX这样高度复杂的衍生品交易平台,仅依赖常规审计已不足以防范新型攻击手段。
未来,必须引入更严格的合约测试框架,包括形式化验证、自动化漏洞扫描以及模拟极端攻击场景的压力测试。同时,应推动建立行业统一的安全标准,提升开发团队对重入、状态依赖等高危模式的认知。
随着比特币波动加剧与Layer2动态加速,用户对DeFi平台的信任正面临严峻考验。本次攻击虽未直接波及比特币本身,但其引发的市场趋势变化不容忽视——投资者对高风险协议的警惕性正在上升。
Beosin安全团队表示,已为包括Surf Protocol、SyncSwap、LeverFi、Owlto Finance在内的多个知名项目完成深度审计,专注于挖掘合约逻辑缺陷与边缘情况。面对日益复杂的交易环境,唯有坚持“代码即法律”的严谨态度,才能保障资产存储与交易活动的安全底线。
195
161
910
886
430
216
334
444
178
764
