GMX, một sàn giao dịch phi tập trung đa chuỗi chuyên về giao dịch hợp đồng tương lai vĩnh viễn, đã cảnh báo vào thứ Tư rằng một phiên bản ban đầu của nền tảng của mình đã bị khai thác.
Khoảng 40 triệu đô la giá trị của các token đã bị siphon từ GMX V1, phiên bản đã ra mắt trên mạng lưới mở rộng lớp-2 Ethereum Arbitrum vào năm 2021, đến một ví không xác định, GMX cho biết trên X. Để đáp lại, giao dịch GMX V1 đã bị vô hiệu hóa, cùng với việc mint và redeem token GLP của GMX trên Arbitrum và mạng lưới lớp-1 Avalanche, GMX cho biết.
GMX gần đây đã được giao dịch khoảng 11.19 đô la, giảm gần 21% trong 24 giờ qua, theo nhà cung cấp dữ liệu tiền điện tử CoinGecko. Token GLP của GMX được thiết kế để cho phép người mua kiếm phí bằng Ethereum hoặc Avalanche từ hoạt động của người dùng trên sàn giao dịch bằng cách cung cấp thanh khoản hiệu quả.
Nhà đầu tư có thể hoán đổi tài sản như Bitcoin và Ethereum lấy token GLP thông qua trang web của GMX, và các quỹ đó sau đó sẽ được gộp lại với nhau. Về lý thuyết, những người nắm giữ GLP có khả năng bán token trở lại cho GMX để nhận tài sản trong quỹ thanh khoản.
ool—nhưng hầu hết các quỹ đó đã biến mất vào thứ Tư.
Điều này bao gồm khoảng 10 triệu đô la Bitcoin, 10 triệu đô la stablecoin USDC của Circle, 8,5 triệu đô la Ethereum, khoảng 1 triệu đô la stablecoin USDT của Tether, cũng như một số lượng lớn token Uniswap và Chainlink, theo một bảng điều khiển trên trang web của GMX.
Khi số tiền trong hồ bơi thanh khoản GLP giảm mạnh vào thứ Tư, nguồn cung token GLP đã tăng lên. Suhail Kakar, người đứng đầu quan hệ phát triển cho TAC, đã viết trên X rằng vụ khai thác dường như là một cuộc tấn công “tái xâm nhập” đã lợi dụng logic đằng sau việc phát hành token GLP.
“Người tấn công có thể đánh lừa hợp đồng để nghĩ rằng họ chưa rút bất cứ thứ gì – và phát hành thêm token lặp đi lặp lại, sử dụng cùng một số tiền cơ bản,” Kakar giải thích. “Đây không phải là một cú đột kích vội vàng. Đây là một cuộc tấn công được lên kế hoạch kỹ lưỡng.”
> Phân tích ban đầu của chúng tôi về vụ khai thác GLP hôm nay, được thực hiện với sự hỗ trợ của các đối tác an ninh và kiểm toán viên chính, vẫn xác nhận rằng
vector tấn công cụ thể dành cho GMX V1. Sự thao túng liên quan đến việc tính toán giá trung bình ngắn hạn trên V1, và điều tương tự… https://t.co/BbcUSaXyq9
>
> — GMX 🫐 (@GMX_IO) ngày 9 tháng 7 năm 2025
Kakar, cùng với công ty an ninh blockchain và phân tích dữ liệu PeckShield, đã lưu ý rằng ví của kẻ tấn công đã được nạp tiền nhiều ngày trước đó thông qua Tornado Cash, một dịch vụ trộn tiền Ethereum mà chính phủ Mỹ đã từng áp đặt lệnh trừng phạt vì cáo buộc sử dụng trong rửa tiền.
GMX đã khuyên người dùng trên X tắt giao dịch đòn bẩy và mint GLP. PeckShield cho biết lỗ hổng này có thể áp dụng cho các phiên bản nhánh của GMX, khuyến cáo họ cũng nên thận trọng.
Các lỗ hổng tái tham gia cho phép kẻ tấn công thực hiện nhiều cuộc gọi—hoặc tương tác với một hợp đồng thông minh, chứa mã lập trình cho các ứng dụng phi tập trung—vào một chức năng duy nhất, đánh lừa một hợp đồng thông minh vào việc tính toán số dư không chính xác. Một trong những ví dụ nổi bật nhất là vụ tấn công DAO trị giá 55 triệu đô la vào năm 2016 trên Ethereum.
Vụ khai thác hôm thứ Tư…
Điều này khác với khoản lỗ 1,4 tỷ đô la của Bybit vào tháng Hai, trong đó một trạm làm việc của nhà phát triển đã bị xâm phạm, cuối cùng dẫn đến vụ hack tiền điện tử lớn nhất từ trước đến nay.
Trong kênh Telegram chính thức của GMX, một số người dùng tự hỏi liệu các nhà đầu tư token GLP có được hoàn tiền hay không. Trên X, GMX cho biết họ dự định sẽ đăng một bài phân tích chi tiết khi cuộc điều tra của dự án hoàn tất.
Trong một tin nhắn gửi tới kẻ tấn công trên chuỗi, GMX đã đề nghị một “khoản thưởng 10% cho người tốt,” tương đương với 4 triệu đô la. Kêu gọi một “giải pháp nhanh chóng và có đạo đức,” dự án cho biết họ sẽ không tiến hành các hành động pháp lý khác nếu “các khoản tiền được trả lại trong vòng 48 giờ.”
Bình luận (0)