作者：九九&Kong&Lisa

编辑：Liz

---

背景

2025 年 7 月 9 日，据慢雾 MistEye 安全监控系统监测，知名去中心化交易平台 GMX (@GMX_IO) 遭攻击，损失价值超 4200 万美元的资产。慢雾安全团队第一时间对该事件展开分析，并将结果整理如下：

(https://x.com/SlowMist_Team/status/1942949653231841352)

相关信息

攻击者地址：

https://arbiscan.io/address/0xdf3340a436c27655ba62f8281565c9925c3a5221

攻击合约地址：

https://arbiscan.io/address/0x7d3bd50336f64b7a473c51f54e7f0bd6771cc355

存在漏洞的合约地址：

https://arbiscan.io/address/0x3963ffc9dff443c2a94f21b129d429891e32ec18

攻击交易：

https://arbiscan.io/tx/0x03182d3f0956a91c4e4c8f225bbc7975f9434fab042228c7acdc5ec9a32626ef

根本原因

此次攻击的根本原因主要有两点：

• 一是 GMX v1 在创建空头头寸时会更新全局空头平均价格(globalShortAveragePrices) 的值，而关掉空头头寸时却不会对其进行任何更新。

• 二是 GMX v1 在处理空头头寸时会立即增加全局空头仓位规模(globalShortSizes)。

这两个因素直接影响了总资产规模(AUM) 的计算，进而导致 GLP 代币价格被操控。

攻击者利用这个设计缺陷，通过 Keeper 在执行订单时会启用 `timelock.enableLeverage` 的特性(创建大额空单的必要条件)，以重入的方式成功创建大额空头头寸，操纵全局平均价格和全局空头头寸规模，在单笔交易中人为抬高 GLP 的价格，并通过赎回操作获利。

攻击前置准备

1. 攻击者首先用两笔前置交易为攻击合约先创建一个做多的仓位，之后再创建一个能让 Keeper 执行的减仓订单。

2. Keeper 收到减仓订单后会调用 PositionManager 合约的executeDecreaseOrder 函数为攻击合约执行减仓操作。其中会先调用 Timelock 合约的 enableLeverage 函数去启用 Vault 合约中的 _isLeverageEnabled 为 true，这是后续攻击流程中能直接创建空头仓位的必要条件。

之后会调用 OrderBook 合约的 executeDecreaseOrder 函数执行减仓的具体逻辑，在对攻击合约的仓位进行更新之后，会将减仓得到的抵押品代币转移给攻击合约。而因为抵押品代币是 WETH，所以会将 WETH 换回 ETH 后再转给攻击合约，这就触发了攻击合约中构造的 fallback 函数来进行后续的重入操作。

3. 攻击合约的 fallback 函数会先将 3001 枚 USDC 转移给 Vault 合约，并调用 Vault 合约的 increasePosition 函数开 30 倍的 WBTC 空单。之后再对该仓位创建对应的平仓订单，以供 Keeper 后续能继续调用。

在increasePosition 函数中，会先调用其内部的 _validate 函数检查 isLeverageEnabled 是否为 true，而只有在 Keeper 执行订单的时候才会先启用 _isLeverageEnabled，使得这一步中的检查通过。直接调用该函数的话是无法成功开仓的，这也就说明了攻击者创建减仓订单的目的是让 Keeper 执行减仓订单的同时能通过 fallback 函数重入去调用 increasePosition 函数，直接创建空头仓位。

此外，由于通过 increasePosition 函数进行开仓时会更新 globalShortAveragePrices 的值，而通过 decreasePosition 函数减仓或平仓时并不会对 globalShortAveragePrices 的值进行更新。所以攻击者可以循环不断地用 3000 枚 USDC 不断创建做空订单后立即再让 Keeper 平空，以此操控 globalShortAveragePrices 的值，最终使得该值比正常 WBTC 的价格低了大概 57 倍。（需要注意这里所有对 WBTC 做空和平空的操作都是在 Keeper 执行减仓订单时重入进去完成的）

第一次通过重入做空 WBTC 时的全局空头平均价格(GlobalShortAveragePrice) 为 108757787000274036210359376021024492，发起正式攻击交易前最后一次做空 WBTC 时的全局空头平均价格(GlobalShortAveragePrice) 为 1913705482286167437447414747675542，前后相差约为 57 倍。

正式攻击步骤

1. Keeper 收到最后一次重入时创建的减仓订单后会调用 OrderBook 合约的 executeDecreaseOrder 函数执行减仓，将减仓获得 ETH 转移给攻击合约时会触发其 fallback 函数。

2. 其中会先从 Uniswap 闪电贷借出 753.8 万枚 USDC，接着调用 RewardRouterV2 合约的 mintAndStakeGlp 函数，用其中 600 万枚 USDC 铸造 412.9 万枚 GLP 代币并进行质押。

铸造时获取的 AumInUsdg 值为 46942248263037264990037614。

WBTC 的全局空头仓位规模(globalShortSizes) 和全局空头平均价格(getGlobalShortAveragePrice) 分别为 15373061114092959107000000000000000 和 1913705482286167437447414747675542。

3. 紧跟着，攻击合约调用 Vault 合约的 increasePosition 函数，向 Vault 中转入 USDC 并创建价值 1538.5 万的大额 WBTC 空头仓位。

在increasePosition 函数的最后会用这部分新开仓的大额空头头寸去更新全局空头仓位规模，使得全局空头仓位规模(globalShortSizes) 被立即增大。

4. 接着攻击合约在完成大额空头头寸建仓后立即调用了 unstakeAndRedeemGlp 函数进行 GLP 代币的解除质押并赎回。

然而这里可以看到只赎回了 38.6 万枚的 GLP 却燃烧掉了 973.1 万枚的 USDG 代币，并且最后转移了 88 枚 WBTC 给攻击合约，这是为什么呢？我们继续跟进到 GlpManager 合约的 _removeLiquidity 函数中：

当用户执行赎回 GLP 代币的操作时，该函数会使用以下公式计算应燃烧的 USDG 代币数量：usdgAmount = _glpAmount * aumInUsdg / glpSupply。之后会将这些 USDG 转移到 Vault 中，卖出换回用户需要赎回的资产(WBTC)。而其中 aum 的计算方式大致为：

aum = ((totalPoolAmounts – totalReservedAmounts) * price) + totalGuaranteedUsd + GlobalShortLoss（全局空头仓位亏损） – GlobalShortProfits（全局空头仓位盈利） – aumDeduction

而由于在上一步创建了大额的空头头寸，使得全局空头仓位规模被增大，且由于全局平均价格(getGlobalShortAveragePrice) 在之前被操控得远低于正常价格，所以这部分空头头寸是亏损的（即 hasProfit 为 false），从而让 GlobalShortLoss（全局空头仓位亏损）增加了好几百倍，导致 AUM 被操控放大(aum + delta)。最终攻击者利用被操控后的 AUM 赎回了超出正常数量的资产。

6. 最后，攻击者继续利用被操控后的 AUM 不断调用 unstakeAndRedeemGlp 函数来赎回 Vault 中的其他资产来获利。

MistTrack 分析

据链上反洗钱与追踪工具 MistTrack 分析，初始攻击者地址(0xdf3340a436c27655ba62f8281565c9925c3a5221) 获利超 4200 万美元，包括：

资金转移情况大致梳理如下：

1. 初始攻击者地址在 Arbitrum 上获利后，迅速将 WETH、WBTC、DAI 等资产转移至中转地址(0x99cdeb84064c2bc63de0cea7c6978e272d0f2dae)，并使用 CoW Swap、Across Protocol、Stargate Finance、Mayan Finance 等多个 DEX 和跨链桥将资产进行兑换、跨链转移到 Ethereum。

2. 攻击者主要通过 CoW Swap 将 USDC 兑换为 DAI，再换为 ETH。

3. 大量资产最终都被兑换成 ETH，目前共计 11,700 枚 ETH 流入地址(0x6acc60b11217a1fd0e68b0ecaee7122d34a784c1)。

值得注意的是，攻击者的初始资金来自 Tornado Cash 于 7 月 7 日转入的 2 ETH，然后再通过 Mayan Finance 将 2 ETH 跨链到 Arbitrum，为整个攻击流程提供初始 Gas。

截至目前，余额情况如下：

• Arbitrum 地址 0xdf3340a436c27655ba62f8281565c9925c3a5221，余额 10,494,796 Legacy Frax Dollar 和 1.07 ETH；

• Ethereum 地址 0xa33fcbe3b84fb8393690d1e994b6a6adc256d8a3，余额 3000 ETH；

• Ethereum 地址 0xe9ad5a0f2697a3cf75ffa7328bda93dbaef7f7e7，余额 3000 ETH；

• Ethereum 地址 0x69c965e164fa60e37a851aa5cd82b13ae39c1d95，余额 3000 ETH；

• Ethereum 地址 0x639cd2fc24ec06be64aaf94eb89392bea98a6605，余额 2700 ETH。

我们将持续对资金进行监控。

总结

本次攻击的核心在于攻击者利用了 Keeper 系统执行订单时会启用杠杆，以及做空时会更新全局平均价格而平空却不会更新的这两个特性，通过重入攻击创建大额空头头寸，操控了全局空头平均价格和全局空头仓位规模的值，从而直接放大了 GLP 价格来赎回获利。

慢雾安全团队建议项目方应该根据自身业务逻辑对核心函数增加重入锁的保护，并严格限制单一因素对价格的直接影响程度。此外，应当对项目的合约代码加强审计与安全测试，从而避免类似情况的发生。