Giao thức perpetuals on-chain GMX vừa trải qua một cuộc tấn công nghiêm trọng, khiến hơn 42 triệu USD bị rút khỏi các hợp đồng thông minh trên Arbitrum – làm dấy lên lo ngại sâu sắc trong cộng đồng DeFi về lỗ hổng bảo mật trong các mô hình POOL-to-PEER hiện nay.
Hơn 42 triệu USD bị rút khỏi GMX Vault
Theo dữ liệu từ DeBank, GMX đã ghi nhận dòng tiền bất thường với hàng chục triệu USD được rút khỏi GMX Vault và nhanh chóng được bridge từ Arbitrum sang Ethereum, chuyển vào ví có địa chỉ 0xdf33…5221.
Cụ thể, hacker đã chuyển lượng lớn USDC sang Ethereum và swap sang stablecoin DAI, động thái được đánh giá là nhằm né tránh việc bị Circle đóng băng tài sản – biện pháp thường áp dụng trong các vụ hack nghiêm trọng.
Tuy nhiên, Circle bị chỉ trích vì không kịp thời phong tỏa USDC, dù có thời điểm hacker nắm giữ tới 30 triệu USD USDC. Trong khi đó, Tether đã có hành động nhanh chóng hơn, nhưng việc phong tỏa USDT không thành công.
Lỗi “re-entrancy” trong GLP V2 bị nghi ngờ là nguyên nhân
Theo phân tích sơ bộ từ người dùng @thatdegenvc trên X, nguyên nhân có thể đến từ lỗi tái nhập (re-entrancy) trong mô hình mint GLP V2 của GMX. Lỗ hổng này cho phép hacker mint GLP một cách bất thường, từ đó rút cạn tài sản trong pool.
Đây là một đòn giáng mạnh vào uy tín của GMX – một trong những giao thức phái sinh on-chain OG có ảnh hưởng sâu rộng từ thời kỳ đầu của DeFi. Một số nhà phát triển trong hệ sinh thái Hyperliquid đang xem xét các hướng triển khai mới, như sử dụng orderbook qua Hypercore theo đề xuất HIP-3, nhằm tránh các rủi ro tương tự.
Cộng đồng Web3 lo ngại – Token GMX lao dốc
Ngay sau vụ việc, giá token GMX đã giảm hơn 10%, rơi từ mức 14 USD xuống quanh 12 USD, theo dữ liệu từ CoinGecko lúc 21:15 ngày 09/07/2025.
Đội ngũ GMX lên tiếng và khuyến cáo khẩn cấp
Ngay sau khi vụ việc bị phát hiện, đội ngũ GMX đã xác nhận sự cố trên mạng xã hội X, đồng thời kêu gọi các dự án đang tích hợp GMX V1 khẩn trương điều chỉnh cấu trúc triển khai, nhằm ngăn chặn các tổn thất lan rộng.
GMX cũng cam kết điều tra toàn diện và phối hợp với các cơ quan chức năng cũng như nền tảng bảo mật blockchain để theo dấu hacker, đồng thời khôi phục phần nào thiệt hại cho người dùng bị ảnh hưởng.
Sự cố của GMX là minh chứng rõ ràng rằng ngay cả những giao thức có uy tín, hoạt động lâu năm cũng không tránh khỏi rủi ro bảo mật nếu không kiểm toán kỹ lưỡng trong mỗi lần nâng cấp sản phẩm.
Trong bối cảnh dòng tiền DeFi đang quay trở lại mạnh mẽ, các nhà phát triển cần thận trọng hơn bao giờ hết với các mô hình Vault, mint token và tương tác đa chuỗi – đặc biệt là khi vận hành trên các nền tảng Layer 2 như Arbitrum.