一名加密貨幣駭客於首次攻擊發生後 48 小時內,歸還 了價值 4,050 萬美元的被盜數位資產給去中心化交易平台 GMX,並接受了約 450 萬美元的賞金。安全專家稱這是區塊鏈重大漏洞事件中極為罕見的迅速報案解決方式。
事件重點:
- 駭客於 7 月 9 日利用 GMX 的智能合約漏洞,通過重入攻擊操縱代幣價格,竊取約 4,200 萬美元
- GMX 提出 10%「白帽」賞金條件,若 48 小時內歸還資金則不追究法律責任
- 攻擊者保留約 450 萬美元作為賞金,將剩餘的 4,050 萬美元數位資產歸還
技術漏洞揭示智能合約弱點
這次攻擊針對 GMX Version 1 協議,採用精密的重入漏洞,利用合約設計缺陷。GMX 事後報告指出,駭客操縱了一個允許在同一次操作中重複調用的合約函式,未阻止重複觸發。
此技術漏洞讓攻擊者能人為抬高 GMX 流動性提供者代幣 GLP 的價格。
駭客因此多次調用函式,導致合約計算現金餘額異常,進而竊取多種加密資產。
被竊資產包括包裝比特幣(WBTC)、Legacy Frax Dollar(FRAX)及 DAI 穩定幣。駭客隨後將資金從 Arbitrum 網路轉到以太坊主網,並將除 FRAX 外所有資產換成 11,700 顆 ETH 代幣。
迅速協商締造罕見歸還
GMX 安全團隊在發生漏洞後,立即於鏈上留下訊息,提出 10% 白帽賞金與 48 小時歸還期限,承諾不追究法律責任。
駭客很快在區塊鏈留言表示:「OK,資金稍後歸還。」其後先將 1,049 萬美元 FRAX 直接發送至 GMX 安全委員會的多簽地址。
已換成 ETH 的 3,200 萬美元分多批歸還。由於事件期間以太幣價格上升,持有的 ETH 價值增至 3,500 萬美元。攻擊者因此保留了 300 萬美元的價差收益,同時歸還原始失竊金額。
平台復原與市場反應
GMX 確認新版本V2協議未受漏洞影響。平台已解除 GMX V2 在 Arbitrum 和 Avalanche 的流動性鑄幣上限。
GMX 原生代幣在資金歸還消息後自初步損失中反彈。根據 CoinMarketCap,該資產交易價值上漲逾 13%。
安全分析人士指出,此事件凸顯去中心化金融協議持續存在風險,也顯示賞金方案可有效鼓勵主動歸還資金。
結語
GMX 事件屬於罕見的案例:主要加密貨幣竊案中,資金透過賞金協商主動歸還。GMX 的 10% 賞金安排促成 4,050 萬美元回復,證明面對區塊鏈安全破口,可以有別於傳統法律訴訟的解決途徑。