7 月 9 日凌晨 3 点 17 分(UTC),去中心化衍生品交易所 GMX 在 Arbitrum 主网遭到攻击,损失约 4200 万美元。慢雾(SlowMist)安全团队确认,黑客利用 GMX v1 的两处设计缺陷,通过一次“重入攻击”在 0.2 秒内完成资金转移。
这是一个新的时代。
没有《十一罗汉》里乔治·克鲁尼的精密排练,也无需《树大招风》中三大贼王的街头火拼—甚至连 GTA5 夸张的劫案剧本都暴露出想象力的匮乏:攻击者只需一行精心构造的 calldata,便让天量的资金据为己有。若把金额换算成传统银行劫案,这已足够让任何国家的头版连挂三天。
然而中文舆论场却像被按下了消音键:主流门户零报道,安全圈也没有讨论热度,仿佛事件发生在平行宇宙。
更吊诡的是受害者的应对策略。GMX 团队在链上留言:“你已证明技术实力,现在选择 500 万美元赏金还是终身逃亡?”——这不是谈判,而是公开承认自身防御体系的彻底破产。在传统金融里,银行被抢后至少可以冻结账户、追踪钞票序列号;而在链上,项目方唯一能做的只是喊话——用 10% 的赃款换取“白帽”身份。
于是出现了最讽刺的一幕:黑客归还资金后,摇身一变成为了大义凛然的白帽黑客。现实世界里,劫匪即便全额退赃也难逃刑责;链上世界却用“Responsible Disclosure”把重罪洗成荣誉。法律真空下的危险套利:当代码可以定义善恶,司法便退居二线,而用户的资金安全只能寄希望于少数人的道德底线。
在AI大模型能力突飞猛进的当下,发动一次攻击需要的时间成本和难度无疑是降低了。美国上个月通过了稳定币法案,在可以预见的未来,无数人辛勤劳动获得的财富都会涌入这片被视为热土的网络地带,然而大众对于“代码即法律”的黑暗森林中的风险否能够接受? 网络安全行业是否准备好承担更加重要的责任呢?
时间线(UTC)
07-09
- 03:17 攻击发生,4200 万美元被转出。
- 09:30 慢雾发布初步分析报告,社区确认漏洞。
- 15:00 GMX 官方推特承诺:若黑客归还全部资金,将不再追究法律责任,并额外支付 500 万美元漏洞赏金。
07-10
- 02:45 GMX 通过链上备注向黑客地址留言:“你已证明技术实力;收下 500 万赏金与继续隐匿赃款,是‘自由花钱’与‘持续冒险’之间的选择。”
- 14:20 黑客在链上回复:“ok, funds will be returned later.”
07-11
- 08:10 黑客开始分批归还:
- 10,000 ETH(约 2,650 万美元)直接转回 GMX 多签地址;
- 1,050 万 FRAX 稳定币随后到账;
- 剩余约 300 万美元差额以其他代币补齐。
- 11:30 GMX 公告确认已收到 4,050 万美元,500 万赏金已转至黑客指定地址。
- 16:00 GMX 发布详细事后报告,称漏洞已在最新版本修复,用户资产“零损失”,补偿金来自国库漏洞赏金池。
同一天,国内媒体刊登新闻
上海市国资委党委召开中心组学习会,围绕加密货币与稳定币的发展趋势及应对策略开展学习。市国资委党委书记、主任贺青指出,要全面贯彻落实十二届市委七次全会精神,坚持创新驱动,保持对新兴技术的敏锐感知,加强对数字货币的研究探索。坚持产数融合,探索区块链技术在跨境贸易、供应链金融、资产数字化等领域的运用。