9 июля 2025 года GMX, ведущая децентрализованная биржа perpetual futures, стала жертвой взлома на сумму $42 миллиона. Злоумышленник использовал уязвимость в своем GLP ликвидном пуле на Arbitrum.
Механизм взлома и роль CrowSwap
Атакующий использовал методы flash loans для манипуляции пулом GLP GMX, извлекая $32 миллиона из Arbitrum и переведя $9.6 миллиона на Ethereum. На ончейн-данных видно, что хакер конвертировал $9.75 миллиона в USDC и $1.34 миллиона в DAI в ETH через CrowSwap, используя децентрализованный характер платформы для сокрытия следов средств. Обеспеченность CrowSwap централизованным контролем вызывает вопросы относительно его роли в содействии незаконным транзакциям.
Ответ GMX на инцидент
GMX приостановила торговлю V1 и отключила создание/выкуп GLP на Arbitrum и Avalanche, чтобы ограничить дальнейшие убытки. Команда предложила вознаграждение в размере 10% ( $4.2 миллиона), если 90% средств будет возвращено в течение 48 часов, и пообещала предоставить подробный отчет о случившемся. Хак затронул курс токена GMX, который упал более чем на 20% до $11.11.
Последствия для DeFi
Взлом GMX подчеркивает постоянные проблемы безопасности в DeFi, особенно в отношении уязвимостей смарт-контрактов и рисков в межцепочках. Участие CrowSwap усиливает опасения по поводу подверженности децентрализованных бирж незаконному использованию. В то время как расследования продолжаются, сообщество DeFi ждёт обновлений по восстановлению средств и реакции CrowSwap на свою роль в процессе отмывания.
Инцидент с GMX демонстрирует необходимость улучшения мер безопасности в DeFi и открывает вопросы о будущем децентрализованных платформ в условиях активного наращивания их использования.