近期,去中心化衍生品交易平台GMX遭遇了一次影响深远的安全事件。攻击者利用平台机制中的特定漏洞,通过操控市场价格的方式获取了不正当利润,给平台的流动性提供者(LP)造成了一定损失。本文将详细梳理此次攻击的完整过程、剖析其根本原因,并介绍GMX平台在事件发生后采取的应对措施。
2025主流加密货币交易所官网注册地址推荐:
欧易OKX:
Binance币安:
攻击过程详解
此次事件并非传统的智能合约代码被攻破,而是一次精心策划的经济攻击。攻击者主要针对的是GMX平台上流动性相对较弱的资产对,例如AVAX/USD。
1、攻击者首先在GMX上建立了大量的AVAX多头或空头杠杆头寸。
2、随后,攻击者利用大量资金在中心化交易所(CEX)上拉高或砸低AVAX的现货价格。由于GMX的价格预言机聚合了来自各大交易所的价格信息,外部市场的剧烈波动直接影响了GMX平台内的资产报价。
3、在GMX平台的价格因外部操控而出现大幅偏离后,攻击者迅速平掉了自己在GMX上的杠杆头寸,从而实现了巨额的非正常盈利。
4、整个过程利用了GMX零滑点交易的特性,将外部市场的价格操纵风险直接转嫁到了平台内部的流动性池(GLP)之上。据统计,此次攻击导致GLP池损失了约56.5万美元的资金。
事件原因与平台应对
事件的根本原因在于GMX平台的设计机制。其零滑点交易模型在为用户提供良好交易体验的同时,也为这类经济攻击留下了敞口,特别是对于那些在外部市场容易被操纵价格的非主流资产。当资产的链上价格完全依赖于外部预言机,且平台本身没有设置有效的价格波动限制和持仓规模上限时,风险便会显著增加。
事件发生后,GMX团队迅速做出反应。首先,他们暂时停止了平台上AVAX市场的开仓功能,以阻止攻击的进一步扩大。随后,团队与社区进行了透明的沟通,并着手修复这一机制漏洞。核心的解决方案是为流动性较差的资产设置了“持仓上限”。例如,为AVAX市场的总未平仓合约价值设定了200万美元的上限,一旦超过该阈值,将无法建立新的头寸。这一措施有效地限制了攻击者可以利用的资金规模,从而大幅提高了未来发动类似攻击的成本与难度。
