7月10日,慢雾安全团队成员余弦披露,GMX协议v1版本存在关键设计漏洞。该漏洞源于系统在处理空头仓位时会即时更新全局空头均价参数(globalShortAveragePrices),该参数直接影响总资产管理规模(AUM)计算,导致GLP代币价格易受操控。
攻击者利用该机制缺陷,通过Keeper执行订单时启用timelock.enableLeverage功能创建大额空单。采用重入攻击方式,在单笔交易中人为抬高GLP代币价格并完成套利获利回。此次事件造成4200万美元资产损失,凸显DeFi协议在风控设计方面的严峻挑战。目前GMX团队已启动10%的漏洞赏金计划,但追回资金的可能性尚不明确。
