GMX 51 遭骇客攻击GLP 代币设计漏洞损失4,000 万美元

去中心化永续合约交易所(Perp DEX) GMX 昨日传出资安事件，其早期版本GMX V1 遭骇客攻击，损失金额高达4,000 万美元。 GMX 开发团队表示V2 与主要代币并未受到波及，然而社群信心恐已受到重创。

GLP 价格演算法遭利用，骇客盗走4,000 万美元资产

GMX 官方于昨日宣布，因其GLP 资产池遭到攻击，已紧急暂停GMX V1 上所有交易操作，并全面中止GLP 代币在Arbitrum 和Avalanche 网路的铸造与赎回机制。

The GLP pool of GMX V1 on Arbitrum has experienced an exploit. Approximately $40M in tokens has been transferred from the GLP pool to an unknown wallet.

Security has always been a core priority for GMX, with the GMX smart contracts undergoing numerous audits from top security…

— GMX ? (@GMX_IO) July 9, 2025

GLP 是GMX 的流动性代币，其背后资产包括比特币、以太币与稳定币。根据链上资安公司SlowMist 分析，此次攻击源于GLP 定价逻辑的设计漏洞，骇客透过操控资产管理总额(AUM) 来窃取资金：

v1 的空头部位操作会立刻影响AUM 的计算，从而让攻击者得以操纵GLP 代币的定价。 攻击者利用此设计漏洞，在订单执行期间进行重入攻击(Re-Entrancy Attack)，成功建立了大量的空头部位来操纵GLP 的平均价格，人为抬高GLP 价格，并赎回获利。

GMX 团队强调，该事件仅影响V1 版本，V2、整体市场机制及主要代币GMX 均并未受到波及。不过，团队也呼吁所有用户立即关闭杠杆功能与GLP 铸造，避免潜在的风险扩大。目前，团队提供10% 赏金作为白帽奖励，但攻击者似乎并不买单。

(Perp DEX 的技术创新与市场竞争：浅谈链上永续合约交易所的机会与挑战)

Infini 共同创办人郡主也对此感叹道：「比起这个一代Perp DEX 巨头的殒落，更让人感伤的是，他被盗了这么多钱，中文圈仍然没什么人关注他。」

英雄不是突然死去，他只是逐渐消失在历史的洪流和人们的记忆里。

2025 加密领域骇客事件损失达25 亿美元

GMX 并非个案。 Chainalysis 几天前的报告指出，今年上半年，全球加密产业因资安事件累积损失已达25 亿美元，其中以Bybit 遭骇14 亿美元事件为大宗，成了年初以来损失最惨重的一起攻击。

(Bybit 执行长宣战北韩骇客集团Lazarus，悬赏1.4 亿美元追讨遭窃资金)

另一方面，几周前，伊朗最大加密货币交易所Nobitex 也遭到亲以色列骇客组织Gonjeshke Darande 入侵，损失超过8,100 万美元，凸显无论是中心化还是去中心化平台，都无法免于骇客拜访。

从资安漏洞到国安战线：北韩骇客成全球危机

在攻击频传之际，美国财政部外国资产控制办公室(OFAC) 本周也宣布对北韩骇客组织Andariel 进行新一波制裁，具名成员宋金赫(Song Kum Hyok) 涉嫌透过社交工程与网路渗透，攻击多家加密公司与国防企业，试图渗透内部并窃取核心技术与资产。

(美财政部打击北韩IT 打工仔！揭露多起加密诈骗、洗钱与非法资金链)

美国当局指出：「这些骇客集团与北韩政权高度挂钩，目的在于利用数位资产与加密交易网路，进行跨国制裁逃避、间谍渗透与洗钱操作。」

GMX V1 的攻击事件再次证明，DeFi 协议不仅需要精密的经济模型，更需要强韧的防御机制与持续的风险测试。随着全球骇客手法持续推陈出新，甚至与国家政权结合，未来的加密领域将面对更加严峻的资安挑战。