GMX V1漏洞攻击致4200万美元损失 官方发布详细报告及赔偿计划

【区块律动】7 月 11 日，GMX 官方发布 GMX V1 在 Arbitrum 上遭约 4200 万美元漏洞攻击事件总结报告。

事件概要：

攻击者通过重入直接调用 Vault 合约的 increasePosition 函数，绕过 PositionRouter 和 PositionManager 合约（通常负责计算平均做空价格）；

通过操纵，攻击者将 BTC 平均做空价格从 109,505.77 美元压低至 1,913.70 美元；

利用闪电贷，攻击者以 1.45 美元的正常价格购买 GLP，开启 1500 万美元的头寸；

由于操纵后的价格，GLP 价格被推高至 27 美元以上，攻击者以高价赎回 GLP 获利；

GMX 已确认 V2 无类似漏洞。

下一步计划资金情况：

GLP 池剩余约 360 万美元，预留给未平仓头寸；

Arbitrum 上 V1 的 GLP 本周费用约 50 万美元（扣除 30% 分配给 GMX 质押者的部分），将转入 DAO 金库用于赔偿；

将禁用 Arbitrum 上的 GLP 铸造和赎回（赎回禁用需等待 24 小时 Timelock）；

禁用 Avalanche 上的 GLP 铸造，但保留赎回功能；

启用 Arbitrum 和 Avalanche 上的 V1 头寸平仓，禁用开仓以防漏洞重现；

取消 Arbitrum 和 Avalanche 上的 V1 订单。Arbitrum 上 GLP 剩余资金将分配至赔偿池，供受影响的 GLP 持有者使用。

上述步骤完成后 GMX DAO 将讨论进一步赔偿措施。建议所有 GMX V1 分叉需立即采取措施，待修复并审计后再启用交易和 GLP 类似代币的铸造。