GMX协议遭受重入攻击损失4200万美美金
背景
在2025年7月9号,也就是前不久,GMX协议在Arbitrum上遭黑客攻击,攻击的主要问题集中在 重入+share price 操控
常见的攻击模式:在
deposit/mint中重入,通过再次deposit或者donate的形式,操控share price导致withdraw/redeem的时候share价格相对于deposit/mint过程发生变化。从而实现立马获取收益
在这个合约中,并不是这样简单的重入(如果这样,早就被盗窃完了),仔细看代码,其实是 GMX 协议本身依赖外部合约进行重入保护,但是外部合约对用户地址存在 callback,且没有使用安全的callback 形式,导致用户绕过了外部的重入开关后,直接对 share price 价格进行操控。从而获利。
All articles in this blog are licensed under CC BY-NC-SA 4.0 unless stating additionally.