ChandlerZ、Foresight Newsによる記事

7月9日、分散型取引プラットフォームGMXのV1システムがArbitrumネットワーク上で攻撃を受けました。攻撃者はコントラクトの脆弱性を悪用し、GLP流動性プールから約4,200万ドル相当の資産を移動させました。GMXはその後、プラットフォーム上の取引を停止し、GLPの発行・償還機能をブロックしました。この攻撃はGMXのV2システムやネイティブトークンには影響を与えませんでしたが、この事件はDeFiプロトコルにおける資産管理メカニズムに関する議論を再び巻き起こしました。

攻撃のプロセスと資金の流れ

セキュリティ企業PeckShieldとSlowMistによる分析によると、攻撃者はGMX V1 AUM処理ロジックの欠陥を悪用したことが判明しました。この欠陥により、ショートポジションを開いた直後に契約がグローバル平均価格を更新するようになりました。攻撃者はこれを利用し、トークン価格操作と裁定取引による償還を目的とした方向性のある操作パスを構築しました。

攻撃者は約965万ドル相当の資産をArbitrumからイーサリアムに移し、DAIとETHに換金しました。資金の一部は通貨ミキシングプロトコル「Tornado Cash」に流入しました。残りの約3200万ドル相当の資産は、FRAX、wBTC、DAIなどのトークンで、現在もArbitrumネットワーク内に残っています。

事件後、GMXはチェーン上のハッカーのアドレスに連絡を取り、資金の90%の返還と10%のホワイトハット報奨金を要求しました。チェーンの最新データによると、GMXハッカーはGMX V1プールから盗んだ資産をETHに交換しました。

ハッカーが盗んだ資産には、WBTC/WETH/UNI/FRAX/LINK/USDC/USDTが含まれます。現在、FRAXを除くすべての資産は11,700ETH（約3,233万米ドル）で売却され、4つのウォレットに保管されています。つまり、GMXハッカーは現在、5つのウォレットに11,700ETH（約3,233万米ドル）と1,049万5,000FRAX（約4,280万米ドル相当）を保有していることになります。

ユ・ジン氏は、ハッカーの行動は、資産を返済して10％のホワイトハット報奨金を得るというGMXプロジェクトの提案を拒否したことを意味するはずだと分析した。

契約ロジックの欠陥

セキュリティ会社は、攻撃者がコントラクトへの不正アクセスや許可制御の回避に頼らず、想定されるロジックに基づいて関数を直接操作し、状態更新の時間差を利用して実行期間中に関数を繰り返し呼び出すという典型的な再入操作を行ったと指摘した。

SlowMistによると、攻撃の根本原因はGMX v1バージョンの設計上の欠陥でした。ショートポジション操作は、グローバルショート平均価格（globalShortAveragePrices）を即座に更新し、資産運用規模（AUM）の計算に直接影響を与え、GLPトークンの価格操作につながっていました。攻撃者は、注文執行時に「timelock.enableLeverage」を有効にするKeeperの機能（大量のショートポジションを作成するための前提条件）を利用して、この設計上の脆弱性を悪用しました。攻撃者はリエントランシー攻撃を通じて、大量のショートポジションを確立し、グローバル平均価格を操作し、単一の取引でGLP価格を人為的に引き上げ、償還操作を通じて利益を得ることに成功しました。

このタイプの攻撃は、DeFiプロジェクトで初めて出現したものではありません。コントラクトが資産の発行や償還よりも遅れて残高やポジションの更新を処理する場合、短期的な不整合状態が露呈し、攻撃者が操作パスを構築して無担保資産を抜き取ることができる可能性があります。

GMX V1は共有資金プール設計を採用しており、複数のユーザー資産が統合された金庫を形成し、アカウント情報と流動性ステータスはコントラクトによって管理されます。GLPはプールの代表LPトークンであり、その価格と為替レートはオンチェーンデータとコントラクトロジックによって動的に計算されます。このタイプの合成トークンシステムには、裁定空間の増幅、操作空間の形成、コール間の状態遅延など、観測可能なリスクがあります。

公式の回答

GMXの関係者は攻撃後すぐに声明を発表し、攻撃はV1システムとそのGLPファンドプールのみに影響を与えたと述べました。GMX V2、ネイティブトークン、その他の市場は影響を受けていません。今後の攻撃を防ぐため、チームはV1の取引を停止し、ArbitrumとAvalancheにおけるGLPの発行および償還機能を無効化しました。

チームはまた、現在、運用セキュリティの回復と契約内部メカニズムの監査に重点を置いていると述べました。V2システムはV1の論理構造を継承しておらず、リスクエクスポージャーが限定された、異なる決済、見積、ポジション処理メカニズムを採用しています。

GMXトークンは攻撃後24時間以内に17%以上下落し、約14.42ドルから10.3ドルまで下落しましたが、その後やや回復して11.78ドルとなりました。事件発生前、GMXの総取引量は305億ドルを超え、登録ユーザー数は71万人を超え、未決済残高は2億2,900万ドルを超えていました。

暗号資産のセキュリティは引き続き圧力にさらされている

GMX攻撃は孤立した事例ではありません。2025年以降、暗号資産業界はハッカー攻撃による損失が前年同期を上回っています。第2四半期には発生件数が減少したものの、リスクが緩和されたわけではありません。CertiKの報告書によると、2025年上半期のハッカー、詐欺、脆弱性悪用による損失総額は24億7000万米ドルを超え、2024年の24億米ドルから前年比で約3%増加しました。BybitのコールドウォレットとCetus DEXハッキングの2つの大規模盗難は、合計17億8000万米ドルの損失をもたらし、全損失の大部分を占めています。この集中型の大規模盗難は、高価値資産に依然として十分な分離と冗長性のメカニズムが欠如しており、プラットフォーム設計の脆弱性が効果的に解決されていないことを示しています。

攻撃の種類の中で、ウォレットへの侵入は最も深刻な経済的損失をもたらしました。今年上半期には34件の関連インシデントが発生し、約17億米ドル相当の資産が流出しました。技術的に複雑な脆弱性攻撃と比較すると、ウォレット攻撃は主にソーシャルエンジニアリング、フィッシングリンク、または権限の欺瞞によって実行されます。これらの攻撃は技術的な障壁は低いものの、非常に破壊的な被害をもたらします。ハッカーは、特に多要素認証が有効になっていない場合やホットウォレットに依存している場合、ユーザー端末上の資産への入り口を標的とする傾向が高まっています。

同時に、フィッシング攻撃は依然として急速に増加しており、最も発生件数の多い攻撃手段となっています。今年上半期には合計132件のフィッシング攻撃が記録され、累計損失は4億1,000万米ドルに達しました。攻撃者は偽造されたウェブページ、契約インタラクションインターフェース、あるいは偽装された取引確認プロセスを用いて、ユーザーにミスを誘導し、秘密鍵や認証権限を取得しようとします。攻撃者はフィッシング行為の特定を困難にするために、常に戦略を調整しています。ユーザー側のセキュリティ意識とツールの装備は、重要な防御線となっています。