7 июля 2025 года децентрализованный обмен GMX стал жертвой одного из крупнейших хакерских взломов в истории DeFi. Выведено было более 42 миллионов долларов цифровых активов, что вызвало настоящую бурю в сообществе и привлекло всеобщее внимание к безопасности децентрализованных финансов. Несмотря на кажущуюся катастрофу, эта история приобрела неожиданный поворот — злоумышленник, воспользовавшийся уязвимостью протокола, согласился на белую сделку, вернул большую часть украденного и получил солидную награду. Детали этого уникального инцидента не только раскрывают сохраняющиеся риски в экосистеме DeFi, но и заставляют задуматься об этических границах взаимодействия с хакерами в криптоиндустрии. В основе эксплойта GMX лежала критическая уязвимость в версии протокола V1.
Проблема заключалась в механизме обработки цены GLP токенов и возможности проведения повторных входов (re-entrancy attack), несмотря на использование стандартных защитных функций. Злоумышленник смог обойти nonReentrant modifier, который, к сожалению, был ограничен одним контрактом и не учитывал межконтрактные вызовы, что позволило манипулировать ценой GLP и извлекать прибыль через открытую позицию, использовав флеш-займ. Последствия оказались масштабными — в кратчайшие сроки из хранилищ протокола утекли существенные деньги, а биржа была вынуждена остановить торговлю на нескольких платформах, включая Avalanche и Arbitrum, чтобы ограничить дальнейшие потери. Однако, в отличие от многих подобных случаев, GMX пошёл по пути переговоров с атакующим через платформу Lookonchain, известную своими инструментами аналитики блокчейн-активности. Это привело к неожиданному соглашению: хакер согласился вернуть 42 миллиона долларов в обмен на белую награду размером 5 миллионов.
Такая практика, хотя и не нова в DeFi, редко бывает такой масштабной и привлекает внимание к вопросам безопасности и доверия между разработчиками и исследователями, выявляющими уязвимости. На текущий момент уже возвращено около 10,49 миллионов долларов в стабильных монетах FRAX. Остальные активы хакер обменял на 11 700 ETH, что благодаря росту курса эфира до $35000 превратилось в $35 миллионов и принесло дополнительную прибыль в районе $3 миллионов. Именно это обстоятельство спровоцировало жаркие обсуждения внутри сообщества. Многие выражают обеспокоенность тем, что хакер может рассчитывать удержать часть дохода от арбитража, что ставит под сомнение этичность полностью белой сделки.
По мнению некоторых экспертов, такой прецедент может подорвать доверие к white-hat практике в DeFi. Возникает дилемма — с одной стороны, возврат значительной части похищенных средств и их сохранение для пользователей — это положительный момент, помогающий минимизировать ущерб. С другой стороны, потенциальное сохранение прибыли хакером фактически оставляет лазейки для злоупотреблений. GMX уже подтвердил, что эксплойт был вызван re-entrancy багом в V1, где логика расчёта цен распределена между разными смарт-контрактами. В новой версии V2 этот недостаток исправлен, функции объединены в одном контракте, что предотвращает возможность подобных атак.
Несмотря на это, инцидент подчёркивает весьма серьёзные риски для всей отрасли, основанной на блокчейн-технологиях и смарт-контрактах. Инцидент выявляет, что при работе с финансами в децентрализованной среде необходимо уделять повышенное внимание аудитам, динамическому мониторингу и оперативному реагированию на угрозы. В плане этики и юриспруденции ситуация сложная — по стандартам традиционного права, атака с хищением средств считается преступлением, даже если деньги возвращаются с сожалением. Однако в мире блокчейна и DeFi грани условны, а многие хакеры стремятся заработать через открытое выявление багов вместо нарушения закона. Вопрос в том, насколько протоколы и сообщества готовы идти на компромиссы и как такие случаи регулируются и оцениваются со стороны пользователей и инвесторов.
Возвращение украденных средств для GMX — безусловное облегчение и спасительный ход, позволивший протоколу сохранить капитал и репутацию. Однако массовое обсуждение сделало этот кейс катализатором для улучшения законодательства и стандартов безопасности в DeFi, стимулируя более тесное взаимодействие между разработчиками, охотниками за уязвимостями и регуляторами. Важным выводом из инцидента стала необходимость пересмотра механизмов работы белых хакеров. Вызовы для сообщества включают создание более прозрачных, юридически обоснованных и технически надежных песочниц, где баги выявляются заблаговременно, а эксплойты не приводят к тяжёлым последствиям. Таким образом, взлом GMX и последующая белая сделка стали знаковым событием, сыгравшим роль в формировании новых правил игры в DeFi-секторе.
