GMX – sàn giao dịch phái sinh on-chain nổi tiếng trên Arbitrum đã ghi nhận dòng tiền bất thường với hơn $42M được rút từ các smart contract liên quan GMX Vault. Số tiền đã nhanh chóng được chuyển qua bridge từ Arbitrum sang Ethereum tới địa chỉ ví 0xdf33…5221.
Theo một vài nguồn tin ban đầu báo cáo, hacker đã bridging USDC sang Ethereum, sau đó nhanh chóng swap thành DAI nhằm né tránh khả năng bị Circle đóng băng USDC. Dù vậy, Circle vẫn nhận về sự chỉ trích khi không đóng băng kịp thời USDC tại thời điểm hacker cầm đến $30M USDC. Trong khi đó, Tether nhanh chóng có động thái phong tỏa tài sản của hacker nhưng bất thành. Đội ngũ GMX đã lên tiếng thừa nhận vụ tấn công và kêu gọi các dự án đang sử dụng GMX V1 điều chỉnh ngay lập tức để tránh mất mát thêm. Đội ngũ dự án cũng gửi tin nhắn on-chain đến hacker, kêu gọi hắn trả lại 90% số tiền đã lấy đi để được giữ 10% làm phần thưởng bug bounty.
Người dùng @thatdegenvc trên X chia sẻ lỗi re-entrancy (tái nhập) trong mô hình mint GLP v2 của GMX có thể là nguyên nhân chính dẫn đến cuộc tấn công. Lỗi này cho phép hacker khai thác, mint GLP với số lượng bất thường, từ đó rút hết tài sản trong pool. Vụ việc cũng dấy lên lo ngại cho các dự án xây dựng trên cấu trúc POOL-to-PEER tương tự như GMX, khi một số nhà phát triển trong hệ sinh thái Hyperliquid đang cân nhắc các giải pháp thay thế, như triển khai trực tiếp qua các thị trường HIP-3 với orderbook trên Hypercore, nhằm hạn chế rủi ro.
