Sàn DEX GMX bị hack 42 triệu đô la: Hacker đã tấn công vào GLP pool trên Arbitrum

Khai thác lỗ hổng bảo mật của GMX

Kẻ tấn công đã khai thác một lỗ hổng re-entrancy (lỗi lặp lại) trong hợp đồng thông minh của GMX V1, điều này cho phép Hacker tạo bất hợp pháp lượng lớn token GLP và rút tài sản khỏi pool thanh khoản với GLP đã có sẵn. Các loại tài sản bị đánh cắp bao gồm:

• 10 triệu USD WBTC

• 10 triệu USD USDC

• 8,5 triệu USD WETH

• 1 triệu USD USDT

• Số lượng đáng kể LINK, UNI, FRAX

Tổng hiệt hại ước tính của đợt tấn công này lên đến 40-42 triệu USD theo các nguồn dữ liệu của on-chain Peckshiled, Arkham, Look on-chain,...

Phương thức tấn công của Hacker 

Thông qua một hợp đồng thông minh độc hại, kẻ tấn công đã thao túng cơ chế tính giá trung bình ngắn hạn (short average price) trên GMX V1. Lỗ hổng này cho phép họ mint lượng GLP vượt quá mức cho phép, sau đó rút các token có giá trị khỏi bể thanh khoản với GLP.

Quá trình thực hiện

• Ngày 7/7/2025: Ví hacker được tạo, nhận 2 ETH từ Tornado Cash – một công cụ trộn coin nổi tiếng.

• Hacker chuyển tiền từ Ethereum sang Arbitrum thông qua Mayan Bridge.

• Sau khi khai thác thành công GLP pool, hacker chuyển khoảng 9,6 triệu USD về lại Ethereum, đổi USDC sang ETH và sau đó sang DAI để làm mờ dấu vết giao dịch.

Nghi vấn từ giới phân tích

Công ty bảo mật SlowMist nhận định rằng kỹ thuật tấn công có điểm tương đồng với các vụ hack do nhóm hacker DPRK đến từ Triều Tiên thực hiện trước đây – vốn thường sử dụng Tornado Cash để rửa tiền và che giấu dòng tiền bất hợp pháp.

Phản ứng của GMX

Tạm dừng giao dịch trên V1

GMX nhanh chóng vô hiệu hóa việc giao dịch, mint và redeem GLP trên cả Arbitrum và Avalanche. GMX V2 và token GMX không bị ảnh hưởng trong vụ việc này.

Đề nghị bounty cho hacker

GMX đã gửi tin nhắn on-chain đến ví của hacker, đề xuất hoàn trả 90% số tiền bị đánh cắp và giữ lại 10% (~4 triệu USD) dưới dạng phần thưởng “white-hat bounty”. GMX cam kết không truy cứu pháp lý nếu tiền được hoàn trả trong vòng 48 giờ.

Hợp tác điều tra

GMX đang phối hợp với các đơn vị audit và bảo mật để điều tra và phân tích chi tiết. Họ xác nhận lỗi chỉ tồn tại trong V1 và khuyến cáo các dự án fork từ GMX V1 nên tạm thời tắt tính năng đòn bẩy.

Tác động tới thị trường và người dùng

• Token GMX giảm mạnh từ khoảng 14,42 USD xuống 11,19 – 12,29 USD, tương đương mức giảm 18–28%.

• Người cung cấp thanh khoản (LP) trên Arbitrum không thể rút tài sản do tính năng redeem bị khóa. GMX chưa công bố kế hoạch đền bù chính thức, khiến cộng đồng lo ngại.
  
  

Khuyến nghị bảo mật

Đối với người dùng:

• Không sử dụng GMX V1 cho đến khi có thông báo chính thức.

• Chuyển sang sử dụng GMX V2 để tiếp tục giao dịch an toàn.

Đối với nhà đầu tư:

• Lưu trữ token GMX trên ví cứng như Ledger hoặc ví DeFi phi tập trung như Wigwam để giảm rủi ro bị xâm nhập.

Đối với các dự án fork từ GMX:

• Tạm thời vô hiệu hóa tính năng leverage.

• Thực hiện audit lại hợp đồng thông minh để tránh lặp lại lỗ hổng re-entrancy.
  
  

Bối cảnh và những vụ hack trước đó

Vụ việc lần này không phải là lần đầu GMX bị khai thác. Vào tháng 9/2022, GMX V1 từng bị tấn công trên Avalanche với thiệt hại 560.000 USD. GMX khi đó cũng đưa ra đề nghị bounty nhưng không rõ hacker có hoàn tiền hay không.

Bên cạnh GMX, nhiều giao thức DeFi khác cũng đang đối mặt với nguy cơ tấn công, đặc biệt là những phiên bản cũ chưa cập nhật hệ thống bảo mật – như vụ hack Cetus Protocol gần đây.

Thông tin thêm về GMX

• GMX V2 (ra mắt 2023) sử dụng cơ chế pool GM và vault GLV để cải thiện hiệu quả vốn và giảm rủi ro khai thác.

• Nền tảng có kế hoạch mở rộng sang Solana vào tháng 3/2025 và đã triển khai mô hình vay kink giúp tăng thanh khoản thêm 30–40%.

• Tổng khối lượng giao dịch tích lũy trên GMX đã vượt 277 tỷ USD, với hơn 728.000 người dùng, trở thành DEX lớn nhất trên Arbitrum và Avalanche trong mảng perpetual futures.

Giới thiệu về GMX

GMX là một DEX cho phép giao dịch spot và perpetual contracts với đòn bẩy lên đến 100x mà không cần KYC. Nền tảng hoạt động dựa trên mô hình AMM, sử dụng các pool thanh khoản như:

• GLP (trong phiên bản V1)

• GM (trong phiên bản V2)

GMX nổi bật với phí giao dịch thấp và cơ chế giao dịch trực tiếp từ ví cá nhân. Tính đến giữa năm 2025, GMX ghi nhận TVL khoảng 502 triệu USD, từng đạt đỉnh 690 triệu USD vào cuối năm 2024.

Kết luận

Vụ hack GMX ngày 9/7/2025 là một lời cảnh báo rõ ràng về mức độ phức tạp và tinh vi của các cuộc tấn công trong DeFi hiện nay. Dù GMX V2 vẫn an toàn, việc duy trì hoạt động của V1 đã khiến nền tảng đối mặt với rủi ro nghiêm trọng. Cộng đồng người dùng, LP và các dự án xây dựng dựa trên GMX cần hành động khẩn cấp để đảm bảo an toàn tài sản.

Lưu ý: Bài viết tổng hợp thông tin từ các nguồn công khai. Vui lòng kiểm tra thêm các thông báo chính thức từ GMX và tự nghiên cứu (DYOR) trước khi đưa ra quyết định đầu tư.