Được viết bởi ChandlerZ, Foresight News
Vào ngày 9 tháng 7, hệ thống V1 của nền tảng giao dịch phi tập trung GMX đã bị tấn công trên mạng lưới Arbitrum. Kẻ tấn công đã lợi dụng lỗ hổng trong hợp đồng để chuyển khoảng 42 triệu đô la tài sản từ nhóm thanh khoản GLP. GMX kể từ đó đã tạm dừng giao dịch trên nền tảng và chặn các chức năng đúc và đổi GLP. Vụ tấn công không ảnh hưởng đến hệ thống V2 hoặc token gốc của GMX, nhưng sự cố này một lần nữa làm dấy lên những thảo luận về cơ chế quản lý tài sản trong giao thức DeFi.
Quá trình tấn công và dòng vốn
Phân tích của các công ty bảo mật PeckShield và SlowMist cho thấy kẻ tấn công đã khai thác một lỗ hổng trong logic xử lý AUM của GMX V1. Lỗ hổng này khiến hợp đồng tự động cập nhật giá trung bình toàn cầu ngay sau khi mở một vị thế bán khống. Kẻ tấn công đã lợi dụng điều này để xây dựng một đường dẫn hoạt động định hướng nhằm thao túng giá token và thực hiện giao dịch chênh lệch giá.

Kẻ tấn công đã chuyển khoảng 9,65 triệu đô la tài sản từ Arbitrum sang Ethereum, sau đó chuyển đổi chúng thành DAI và ETH. Một phần tiền đã chảy vào giao thức trộn tiền tệ Tornado Cash. Số tài sản còn lại khoảng 32 triệu đô la vẫn nằm trong mạng lưới Arbitrum, bao gồm các token như FRAX, wBTC và DAI.
Sau sự cố, GMX đã gọi đến địa chỉ tin tặc trên chuỗi, yêu cầu hoàn trả 90% số tiền và đề nghị mức tiền thưởng mũ trắng 10%. Theo dữ liệu mới nhất trên chuỗi, tin tặc GMX đã đổi số tài sản bị đánh cắp từ nhóm GMX V1 lấy ETH.
Các tài sản bị tin tặc đánh cắp bao gồm WBTC/WETH/UNI/FRAX/LINK/USDC/USDT. Hiện tại, tất cả tài sản ngoại trừ FRAX đã được bán với giá 11.700 ETH (khoảng 32,33 triệu USD) và được lưu trữ trong 4 ví. Do đó, tin tặc GMX hiện đang nắm giữ 11.700 ETH (khoảng 32,33 triệu USD) và 10,495 triệu FRAX trong 5 ví, trị giá khoảng 42,8 triệu USD.
Yu Jin phân tích rằng hành động của hacker cũng có nghĩa là họ đã từ chối đề xuất của dự án GMX về việc hoàn trả tài sản và nhận tiền thưởng mũ trắng 10%.
Những sai sót trong logic hợp đồng
Công ty bảo mật chỉ ra rằng kẻ tấn công không dựa vào quyền truy cập trái phép vào hợp đồng hoặc bỏ qua quyền kiểm soát, mà trực tiếp vận hành chức năng dựa trên logic dự kiến và sử dụng chênh lệch thời gian cập nhật trạng thái để gọi chức năng nhiều lần trong thời gian thực thi, đây là hoạt động tái nhập điển hình.
SlowMist cho biết nguyên nhân gốc rễ của vụ tấn công là lỗi thiết kế trong phiên bản GMX v1. Các hoạt động vị thế bán khống sẽ ngay lập tức cập nhật giá trung bình bán khống toàn cầu (globalShortAveragePrices), ảnh hưởng trực tiếp đến việc tính toán thang đo quản lý tài sản (AUM), dẫn đến thao túng giá token GLP. Kẻ tấn công đã khai thác lỗ hổng thiết kế này bằng cách sử dụng chức năng "timelock.enableLeverage" của Keeper trong quá trình thực hiện lệnh (điều kiện tiên quyết để tạo một số lượng lớn vị thế bán khống). Thông qua các cuộc tấn công reentrancy, kẻ tấn công đã thiết lập thành công một số lượng lớn vị thế bán khống, thao túng giá trung bình toàn cầu, tăng giá GLP một cách giả tạo trong một giao dịch duy nhất và kiếm lời thông qua các hoạt động mua lại.

Kiểu tấn công này không phải là lần đầu tiên xuất hiện trong các dự án DeFi. Khi hợp đồng xử lý số dư hoặc cập nhật vị thế chậm hơn so với việc đúc hoặc hoàn trả tài sản, trạng thái không nhất quán ngắn hạn có thể bị phát hiện, cho phép kẻ tấn công xây dựng các đường dẫn hoạt động và trích xuất tài sản không được thế chấp.
GMX V1 sử dụng thiết kế nhóm quỹ chia sẻ, với nhiều tài sản người dùng tạo thành một kho lưu trữ thống nhất, và thông tin tài khoản cũng như trạng thái thanh khoản được kiểm soát bởi hợp đồng. GLP là token LP đại diện của nhóm, và giá và tỷ giá hối đoái của nó được tính toán động dựa trên dữ liệu trên chuỗi và logic hợp đồng. Loại hệ thống token tổng hợp này có những rủi ro có thể quan sát được, bao gồm khuếch đại không gian chênh lệch giá, hình thành không gian thao túng và độ trễ trạng thái giữa các lệnh gọi.
Phản hồi chính thức
Các quan chức GMX đã nhanh chóng đưa ra tuyên bố sau vụ tấn công, cho biết vụ tấn công chỉ ảnh hưởng đến hệ thống V1 và quỹ GLP. GMX V2, token gốc và các thị trường khác không bị ảnh hưởng. Để ngăn chặn các cuộc tấn công tiếp theo có thể xảy ra, đội ngũ đã tạm dừng hoạt động giao dịch trên V1 và vô hiệu hóa chức năng đúc và đổi GLP trên Arbitrum và Avalanche.

Nhóm cũng cho biết trọng tâm hiện tại của họ là khôi phục an ninh vận hành và kiểm toán các cơ chế nội bộ của hợp đồng. Hệ thống V2 không kế thừa cấu trúc logic của V1, mà áp dụng các cơ chế bù trừ, báo giá và xử lý vị thế khác nhau, với mức độ rủi ro hạn chế.
Giá token GMX đã giảm hơn 17% trong vòng 24 giờ sau vụ tấn công, từ khoảng 14,42 đô la xuống còn 10,3 đô la, và đã phục hồi nhẹ lên 11,78 đô la. Trước sự cố, tổng khối lượng giao dịch của GMX đã vượt quá 30,5 tỷ đô la, với hơn 710.000 người dùng đã đăng ký và tổng số hợp đồng mở là hơn 229 triệu đô la.
Bảo mật tài sản tiền điện tử tiếp tục chịu áp lực
Vụ tấn công GMX không phải là trường hợp cá biệt. Kể từ năm 2025, ngành công nghiệp tiền điện tử đã chịu nhiều tổn thất hơn từ các cuộc tấn công của tin tặc so với cùng kỳ năm ngoái. Mặc dù số lượng sự cố đã giảm trong quý 2, nhưng điều này không có nghĩa là rủi ro đã giảm bớt. Báo cáo của CertiK chỉ ra rằng trong nửa đầu năm 2025, tổng thiệt hại do tin tặc, lừa đảo và khai thác lỗ hổng bảo mật gây ra đã vượt quá 2,47 tỷ đô la Mỹ, tăng gần 3% so với cùng kỳ năm trước so với 2,4 tỷ đô la Mỹ bị đánh cắp vào năm 2024. Hai vụ trộm ví lạnh Bybit quy mô lớn và vụ hack Cetus DEX đã gây ra tổng thiệt hại là 1,78 tỷ đô la Mỹ, chiếm phần lớn tổng thiệt hại. Vụ trộm tập trung quy mô lớn này cho thấy các tài sản có giá trị cao vẫn thiếu các cơ chế cô lập và dự phòng đầy đủ, và các lỗ hổng trong thiết kế nền tảng vẫn chưa được giải quyết hiệu quả.
Trong số các loại tấn công, xâm nhập ví gây ra thiệt hại kinh tế nghiêm trọng nhất. Trong nửa đầu năm, đã có 34 vụ việc liên quan, dẫn đến việc chuyển giao tài sản trị giá khoảng 1,7 tỷ đô la Mỹ. So với các lỗ hổng bảo mật phức tạp về mặt kỹ thuật, các cuộc tấn công ví chủ yếu được thực hiện thông qua kỹ thuật tấn công phi kỹ thuật, liên kết lừa đảo hoặc lừa đảo cấp phép, vốn có rào cản kỹ thuật thấp hơn nhưng lại cực kỳ nguy hiểm. Tin tặc ngày càng có xu hướng nhắm mục tiêu vào các lối vào tài sản trên thiết bị đầu cuối của người dùng, đặc biệt là trong các trường hợp không bật xác thực đa yếu tố hoặc sử dụng ví nóng.
Đồng thời, các cuộc tấn công lừa đảo trực tuyến (phishing) vẫn đang gia tăng nhanh chóng, trở thành phương tiện có số vụ việc lớn nhất. Tổng cộng 132 cuộc tấn công lừa đảo trực tuyến đã được ghi nhận trong nửa đầu năm, gây thiệt hại tích lũy lên tới 410 triệu đô la Mỹ. Kẻ tấn công sử dụng các trang web giả mạo, giao diện tương tác hợp đồng hoặc quy trình xác nhận giao dịch trá hình để lừa người dùng phạm sai lầm và lấy cắp khóa riêng tư hoặc quyền ủy quyền. Chúng liên tục điều chỉnh chiến lược để khiến các hành vi lừa đảo trực tuyến trở nên khó phát hiện hơn. Nhận thức về bảo mật và trang bị công cụ bảo mật cho người dùng đã trở thành một tuyến phòng thủ quan trọng.
Tất cả bình luận