Крупная безопасностная атака на децентрализованную биржу GMX привела к хищению примерно $42 млн с её платформы для перпетуальных контрактов версии 1, работающей на сети Arbitrum. Как сообщили аналитики Cyvers и PeckShield, эксплойт 9 июля 2025 года был осуществлён через вредоносный смарт-контракт, развёрнутый с адреса, пополненного через миксер Tornado Cash.
Атакующий сфокусировался на широком спектре активов: ETH, USDC, fsGLP, DAI, UNI, FRAX, USDT, WETH и LINK. Из похищенных средств $9,6 млн были переведены в основную сеть Ethereum, а $32 млн остались в Arbitrum. Механизм взлома включал эмиссию токенов GLP и их последующий выкуп в высоколиквидные активы с конвертацией в ETH.
Команда GMX оперативно отреагировала, отправив ончейн-сообщение с предложением «белошляпочного» вознаграждения в 10% при возврате оставшихся средств в течение 48 часов и гарантией отказа от судебного преследования. Однако токен GMX мгновенно отреагировал падением на 17% до $11,7 — минимального уровня за два месяца.
Параллельно подверглась критике компания Circle, эмитент стейблкоина USDC, за запоздалую реакцию на инцидент. Эксперт Ultra отметил, что хакер беспрепятственно конвертировал $30 млн в USDC, и даже спустя час после атаки на кошельке оставалось $4,3 млн в этом стейблкоине, которые позже были переведены в децентрализованный DAI. Это повторяет претензии аналитика ZachXBT о системных задержках Circle в заморозке подозрительных транзакций.
GMX, запущенная в 2021 году и работающая на Solana, Avalanche и Arbitrum, обработала свыше $305 млрд торгового объёма, собрав $435 млн комиссий. Инцидент усугубляет статистику полугодия: по данным CertiK, убытки инвесторов от хакерских атак и мошенничеств в криптоиндустрии за первое полугодие 2025 года достигли $2,5 млрд.