GMX a été piraté pour 42 millions de dollars ! Une "vulnérabilité de réentrance" a causé des dégâts, le rapport officiel révèle le plan d'indemnisation.

L'ancienne plateforme d'échange décentralisée Futures Perpétuel GMX a été victime d'une cyberattaque lors de son déploiement V1 sur Arbitrum le 9 juillet, entraînant des pertes allant jusqu'à 42 millions de dollars. Cet incident a de nouveau tiré la sonnette d'alarme sur la sécurité dans le domaine de la Finance décentralisée. Le soir du 10 juillet, heure de Taïwan, GMX a publié un rapport détaillé sur la plateforme X, révélant les causes profondes de cette attaque, les mesures d'urgence initiales et les plans futurs, ainsi que des explications sur la façon de compenser les utilisateurs affectés.

GMX a été piraté en raison d'une « vulnérabilité de réentrance » exploitée

Selon le rapport officiel de GMX, cette attaque a eu lieu le 9 juillet 2025 à 12h30 (UTC). L'attaquant a exploité une vulnérabilité de « ré-entrance » sur GMX V1 sur Arbitrum. Le hacker a directement appelé la fonction increasePosition dans le contrat Vault, contournant le mécanisme de calcul du prix moyen à la vente par les contrats PositionRouter et PositionManager dans le processus normal.

Les attaquants ont manipulé le prix moyen à la baisse du Bitcoin de 109 505,77 $ à 1 913,70 $ et ont utilisé des prêts éclair pour acheter du GLP (jeton de liquidité GMX) au prix de 1,45 $, ouvrant une position d'une valeur de 15,38 millions de dollars, pour finalement faire grimper le prix du GLP à plus de 27 $, réalisant ainsi d'énormes profits.

Le rapport indique que le point d'entrée de l'attaque se trouve dans une fonction du contrat OrderBook. Bien que cette fonction dispose d'un modificateur nonReentrant, cela ne peut empêcher que les réentrées au sein du même contrat, mais ne prévient pas les attaques inter-contrats. Cela met en évidence les points de vulnérabilité potentiels des protocoles de Finance décentralisée lors d'interactions complexes.

Mesures préliminaires de GMX et plans ultérieurs

À cet égard, GMX a rapidement agi en suspendant les transactions sur Avalanche après avoir découvert la vulnérabilité, évitant ainsi une aggravation des pertes, et a contacté Arbitrum, la plateforme d'échange, les protocoles de pont et les émetteurs de stablecoins (comme Circle, Tether, Frax) pour retracer les fonds volés, tout en communiquant avec les attaquants via des messages on-chain. GMX a confirmé en outre qu'il n'y avait pas de vulnérabilités similaires dans GMX V2, car le calcul du prix moyen des positions à découvert et l'exécution des ordres sont réalisés dans le même contrat.

Pour traiter les conséquences de l'attaque et protéger les droits des utilisateurs, GMX a proposé le plan spécifique suivant :

Répartition des fonds et provisions pour indemnisation : Actuellement, il y a environ 3,6 millions de dollars de tokens dans le pool GLP, retenus en raison de positions non liquidées. Les frais V1 de GLP sur Arbitrum s'élèvent à environ 500 000 dollars (après déduction des frais de 30 % pour la conversion automatique en GMX), qui seront transférés dans le trésor GMX DAO pour indemniser les détenteurs de GLP affectés. Les fonds restants de GLP sur Arbitrum seront alloués au pool d'indemnisation, permettant aux détenteurs de GLP affectés de faire une demande.

Interdiction de la création et du rachat de GLP : La création et le rachat de GLP sur Arbitrum seront interdits. La création de GLP sur Avalanche sera interdite, mais la fonction de rachat restera ouverte, permettant aux utilisateurs de gérer leurs opérations de manière flexible.

Gestion des positions et des ordres : Après la désactivation du rachat de GLP sur Arbitrum, la fonction de fermeture des positions V1 sur Arbitrum et Avalanche sera activée, permettant aux utilisateurs de fermer les positions existantes. Cependant, la fonction d'ouverture de positions V1 ne sera pas activée pour empêcher que des attaques similaires ne se reproduisent. Les ordres V1 existants sur Arbitrum et Avalanche ne seront plus exécutés, et les utilisateurs devront annuler eux-mêmes tous les ordres V1.

Discussion sur la gouvernance : le GMX DAO va lancer une discussion sur la gouvernance pour planifier des mesures d'indemnisation supplémentaires, assurer une répartition équitable des fonds restants et établir des stratégies de prévention à long terme.

Support pour le staking esGMX : Sur Arbitrum et Avalanche, les utilisateurs utilisant GLP pour le staking esGMX peuvent continuer à staker. Les utilisateurs sur Avalanche peuvent racheter GLP à tout moment, mais si GLP n'est pas utilisé pour le staking, il est conseillé de procéder au rachat.

Suggestions concernant le fork GMX V1 : GMX exhorte tous les projets de fork V1 à prendre deux mesures pour prévenir des attaques similaires :

1. Fonction de levier désactivée ;

2. Limitation de la création de GLP.

L'incident de piratage de GMX souligne à nouveau les défis de sécurité complexes auxquels sont confrontés les protocoles DeFi dans un développement rapide. Bien que GMX ait réagi rapidement et publié un rapport détaillé ainsi qu'un plan d'indemnisation, cet événement rappelle à tous les participants DeFi qu'il est impératif de rester très vigilant face aux potentielles vulnérabilités des contrats intelligents tout en profitant de la commodité que la finance décentralisée apporte. Cela incite également l'ensemble de l'écosystème DeFi à réfléchir plus profondément sur la sécurité des protocoles et la gestion des risques.