GMX 遭受黑客攻击，损失逾 4000 万美元

近日，某知名去中心化交易平台遭遇黑客攻击，造成超过 4000 万美元的损失。攻击者巧妙利用了一个可重入漏洞，并在平台开启杠杆功能的情况下，通过做空操作实施了这次攻击。

攻击的核心问题出在 executeDecreaseOrder 函数的错误使用上。该函数的首个参数本应是外部账户地址，但攻击者传入了一个智能合约地址。这使得攻击者能够在赎回过程中重新进入系统，操控内部状态，最终赎回的资产远超其实际持有的 GLP 价值。

在正常情况下，GLP 作为流动性提供者代币，代表了用户对金库资产的份额。当用户赎回 GLP 时，系统会根据用户持有的 GLP 占比和当前管理资产总额(AUM)计算应返还的资产数量。AUM 的计算涉及多个因素，包括所有代币池的总价值、全局空头未实现损益等。

然而，在开启杠杆功能后，系统出现了漏洞。攻击者在赎回 GLP 前，开设了大额的 WBTC 空头头寸。由于空头一开仓就增加了全局空头规模，在价格未变动的情况下，系统将这部分未实现亏损计入了金库的"资产"，导致 AUM 人为上升。尽管金库实际并未获得额外价值，但赎回计算却基于这个虚高的 AUM，使攻击者获得了远超其应得的资产。

这次攻击暴露了该平台在杠杆机制与可重入保护设计上的严重缺陷。核心问题在于资产赎回逻辑对 AUM 的信任过高，未对其组成部分（如未实现亏损）进行足够审慎的安全校验。同时，关键函数对调用者身份的假设也缺乏强制性验证。

这一事件再次提醒区块链项目开发者，在涉及资金敏感操作时，必须确保系统状态不可被操纵。特别是在引入复杂金融逻辑（如杠杆、衍生品）时，更需严防重入与状态污染带来的系统性风险。对于用户而言，也应提高警惕，认识到即便是知名项目也可能存在安全漏洞，在参与 DeFi 活动时需谨慎评估风险。