Hacker trả lại hơn 10 triệu USD sau vụ tấn công GMX trị giá 40 triệu USD

Bối cảnh vụ việc

Vụ tấn công xảy ra đầu tuần này, khi một hacker khai thác lỗ hổng re-entrancy trong hợp đồng thông minh OrderBook của GMX V1 trên Arbitrum. Hacker đã thao túng giá short trung bình của BTC, khiến giá trị token GLP bị thổi phồng giả tạo, rồi sau đó rút thanh khoản để thu lợi bất hợp pháp.

Tổng thiệt hại ước tính hơn 42 triệu USD, bao gồm các loại tài sản như USDC, FRAX, WBTC và WETH. Sau vụ việc, GMX đã dừng toàn bộ hoạt động giao dịch và mint token trên V1, áp dụng trên cả Arbitrum và Avalanche. GMX V2 và token gốc GMX không bị ảnh hưởng, theo xác nhận từ dự án.

Đề nghị bounty và phản hồi từ hacker

Ngay sau vụ tấn công, đội ngũ GMX đã gửi thông điệp on-chain đến kẻ tấn công, đề xuất khoản tiền thưởng 10%, tương đương 5 triệu USD, với điều kiện hoàn trả toàn bộ phần còn lại trong vòng 48 giờ và cam kết không truy tố pháp lý.

#PeckShieldAlert #GMX Exploiter msg: funds will be returned later pic.twitter.com/ohlOVYWSvD

— PeckShieldAlert (@PeckShieldAlert) July 11, 2025

Ngay sau đó, địa chỉ ví của hacker đã gửi 5,5 triệu FRAX, tiếp theo là 5 triệu FRAX khác, tổng cộng hơn 10,5 triệu USD đã được hoàn trả về địa chỉ triển khai của GMX.

Giá GMX phục hồi sau cú sập mạnh

Vụ hack khiến token GMX giảm 28%, rơi xuống mức thấp nhất là 10,45 USD. Tuy nhiên, sau động thái hoàn tiền từ hacker, giá đã phục hồi khoảng 14% và hiện đang giao dịch quanh mức 13,25 USD, theo dữ liệu từ The Block.

Sự phục hồi này cho thấy niềm tin thị trường phần nào được cải thiện, đặc biệt khi GMX V2 vẫn hoạt động ổn định và dự án nhanh chóng đưa ra giải pháp ứng phó minh bạch.

Báo cáo kỹ thuật và hướng đi tiếp theo của GMX

Trong báo cáo phân tích sự cố công bố hôm thứ Năm, đội ngũ GMX xác nhận rằng lỗ hổng cho phép hacker thực hiện tái nhập (re-entrancy), qua đó can thiệp vào dữ liệu giá và tính toán lợi nhuận sai lệch trên GLP – token đại diện thanh khoản của nền tảng.

Các bước phản ứng đã được triển khai gồm:

• Tạm dừng vĩnh viễn tính năng mint và redeem GLP trên Arbitrum
• Cho phép người dùng bị ảnh hưởng đóng vị thế hiện tại
• Phân bổ quỹ dự trữ để hoàn trả cho người dùng
• Ban hành hướng dẫn bảo mật cho các dự án fork của GMX V1
• Chuẩn bị mở thảo luận DAO về các giải pháp bồi thường mở rộng

Vụ tấn công 40 triệu USD nhằm vào GMX là một trong những vụ tấn công lớn trong quý III/2025. Tuy nhiên, việc hơn 10 triệu USD được hoàn trả, cùng với cam kết bồi thường minh bạch, đã giúp GMX giữ được uy tín và sự ổn định trong cộng đồng.

Đọc thêm:

• Top 8 vụ hack lớn nhất lịch sử thị trường crypto
• Hacker nhắm vào ví Bitcoin trị giá 8,7 tỷ USD bị đánh cắp từ Mt. Gox
• Resupply bị hack, thiệt hại hơn 9,5 triệu USD