TechFlow 소식에 따르면, 7월 10일, 슬로우미스트의 여현이 소셜 미디어를 통해 "어제 밤 GMX가 4200만 달러를 해킹당한 근본적인 원인은 GMX v1이 공매도 포지션을 처리할 때 전역 공매도 평균 가격(globalShortAveragePrices)을 즉시 갱신하기 때문이며, 이 전역 평균 가격은 총 운용 자산 규모(AUM) 계산에 직접 영향을 미쳐 GLP 토큰 가격 조작을 가능하게 한다"고 밝혔다.
공격자는 이 설계상 결함을 이용해 주문 실행 시 timelock.enableLeverage 기능(대규모 공매도 주문 생성의 필수 조건)이 활성화되는 Keeper의 특성을 활용했으며, 리엔트런트 방식으로 대규모 공매도 포지션을 성공적으로 생성함으로써 전역 평균 가격을 조작하여 단일 거래 내에서 인위적으로 GLP 가격을 끌어올린 후 상환 절차를 통해 수익을 실현했다.
DeFi를 하는 것은 정말 위험한 사업이다. GMX는 아주 오래된 탈중앙화 영구 계약 거래 플랫폼인데 이번에도 큰 함정에 빠졌다. 백모자 보상 정책(피해금의 10%)이 과연 공격자를 유인할 수 있을지는 미지수다…





