GLP 풀에서 4천만달러 유출
공격자는 설계 구조 악용해 가격 부풀려
탈중앙화 파생상품 거래 프로토콜인 지엠엑스(GMX)가 운영하는 아비트럼(Arbitrum) 기반 GLP 유동성 풀에서 약 4천만달러(약 544억원) 상당의 토큰이 해킹됐다. 프로젝트 측은 현지시간 9일 오후 11시 45분 공식 채널을 통해 v1 플랫폼에서 발생한 해킹 피헤를 공개하며, 현재 사고 원인 파악과 피해 최소화에 집중하고 있다고 공지했다.
지엠엑스에 따르면, 해커는 v1 버전 설계상 단점을 악용했다.
보안업체 슬로우미스트(SlowMist)에 따르면, 해킹의 핵심 원인은 GMX v1 설계 방식에 있다. 숏 포지션(가격 하락에 베팅하는 거래)을 만들면 글로벌 평균 가격이 바로 갱신되는 구조인데, 이 방식이 GLP 가격 계산에 영향을 주면서 조작이 가능해졌다는 것이다.
해커는 이러한 구조를 노려 주문 실행 도중 레버리지 활성화 기능(timelock.enableLeverage)을 이용하고, 동시에 재진입 공격(reentrancy attack)을 시도했다. 이를 통해 한 번의 거래로 숏 포지션을 빠르게 반복 실행하며 GLP 가격을 인위적으로 끌어올렸다. 이후 부풀려진 가격으로 GLP를 되팔아 차익을 챙겼다.
지엠엑스는 피해 확산을 막기 위해 현재 GMX v1에서 거래와 GLP의 발행·상환 기능을 아비트럼과 아발란체 네트워크에서 모두 중단한 상태다. 이번 해킹으로 GMX v1과 그 GLP 풀에만 영향을 미쳤으며, GMX v2나 GMX 토큰, 다른 유동성 풀은 영향을 받지 않았다고 전했다.
지엠엑스 측은 보안 전문가들과 함께 사고 원인을 분석 중이며, 조사가 마무리되는 대로 자세한 보고서를 공개할 계획이다.
