Крупнейшая атака года: децентрализованная биржа GMX лишилась $42 млн и приостановила торговлю
Утром 9 июля сообщество децентрализованных деривативов вздрогнуло: аналитическая компания PeckShield сообщила об экстренном выводе из пула ликвидности GMX V1 на Arbitrum эквивалента $42 миллионов. Почти четверть средств злоумышленник мгновенно направил в сеть Ethereum через кросс-чейн-мост, что затруднило заморозку активов. Команда протокола оперативно заблокировала функции торговли, выпуска и погашения GLP как в сети Arbitrum, так и в Avalanche, чтобы отсечь дополнительные векторы атаки. На форуме разработчиков уже появилась предварительная версия постмортема: эксплойт затронул только старую версию протокола, тогда как «GMX V2, его независимые пулы ликвидности и сам токен GMX остаются неприкосновенными». Биржевые котировки не пощадили актив: менее чем за час токен обвалился с дневного максимума $14,44 до $10,77, то есть более чем на 22 %. Для многих трейдеров это стало болезненным напоминанием о рисках «вечных» фьючерсов без кастодиального посредника. Эксперты отмечают, что GMX был одним из немногих dApp, переживших череду атак 2024 года, и потому пользователи считали его эталоном безопасности. Сегодня этот статус требует переосмысления.
Следственная группа GMX подтверждает, что изъятые активы состояли из стейблкоинов USDC, ETH и ARB-токенов пула GLP. Организаторы эксплойта продемонстрировали редкую скорость и техническую изощрённость, сумев за считаные минуты распределить средства по пяти новым адресам и активировать сложную схему мостов. По словам исследователей, вектор взлома связан с уязвимостью ценового оракула при обработке крупного запроса на вывод: манипулируемый курс дал злоумышленнику возможность завысить стоимость GLP перед обналичиванием. Первичные данные указывают, что баг не был нулевым — разработчики получили «ответственный репорт» две недели назад, но посчитали угрозу маловероятной. Теперь сообщество требует обнародовать переписку и по-новому выстроить процесс платных программ bug-bounty. В чате протокола инвесторы обсуждают потенциальный хардфорк с откатом, однако юридическая команда напоминает: вмешательство в цепочку Arbitrum невозможно без согласия валидаторов, а это создало бы прецедент цензуры. Тем временем крупные маркетмейкеры выводят остатки ликвидности в «GMX V2», вызывая усиленную волатильность на молодом рынке. Вернуть доверие будет непросто.
Финансовые последствия для розничных трейдеров пока подсчитать невозможно. По данным Dune Analytics, свыше 12 000 адресов держали GLP в Arbitrum-сети, и многие использовали средства как страховочный коллатерал под маржинальные позиции. Эксперты предупреждают: при длительной блокировке функций редемпшена реальная стоимость GLP может упасть ниже справедливой на десятки процентов. Над проектом нависла угроза коллективных исков, тем более что прошлогодние обновления GMX обещали «институциональное» качество контроля рисков. Арбитражные фонды же видят шанс: если команда предложит план компенсации за счёт будущих комиссий «V2», токен может быстро отыграть часть падения. Но для этого GMX придётся доказать, что новая архитектура действительно надёжна и проходит аудит в режиме реального времени. История напоминает: децентрализация не отменяет ответственности разработчиков перед пользователями — особенно там, где на кону десятки миллионов долларов.