ハッキングの概要と対応の経緯
GMX分散型取引所(DEX)で発生した約4,200万ドル(約62億円)のハッキング事件に関与した攻撃者が、GMXチームの提示した500万ドル(約7.3億円)のホワイトハット報奨金を受け入れ、盗まれた資金の返還を開始した。
#PeckShieldAlert #GMX Exploiter msg: funds will be returned later pic.twitter.com/ohlOVYWSvD
— PeckShieldAlert (@PeckShieldAlert) July 11, 2025
PeckShieldAlert:GMX Exploiter メッセージ: 資金は後で返金されます
今回の攻撃は、水曜日にアービトラム(Arbitrum)ネットワーク上の無期限取引プラットフォーム「GMX v1」に存在した設計上の欠陥を突いたものだった。攻撃者はGLPトークンの価格を操作し、FRAX、USDC、DAIなどのステーブルコインや、WETH、WBTCといった仮想通貨をプラットフォームの流動性プールから不正に引き出した。
侵害が発覚した後、GMXチームは攻撃者の技術力を公に認め、盗まれた資産の返還を条件に500万ドルの報奨金を提示。報酬はホワイトハット報奨金として扱われ、返還が確認された場合にはハッカーが合法的に保有できることが保証された。また、48時間以内に資金が返還されない場合は法的措置を取ると警告していた。GMXはX上の投稿で「あなたはエクスプロイトの実行に成功しました。その能力は、エクスプロイト取引を調査する誰の目にも明らかです」と述べ、「ホワイトハットバグバウンティの500万ドルは引き続き利用可能です」と明言している。さらに、返還される資金の出所証明についても、ハッカーを支援する姿勢を示した。
資金返還の進行状況と新たな展開
報奨金の提示を受けた後、ハッカーはオンチェーン上で「OK、資金は後で返還されます」と投稿。約1時間後、「GMX Exploiter 2」と識別されたアドレスから資金の返還が始まり、これまでに約900万ドル相当のETHと、FRAXで計1049万ドル相当がGMXの指定アドレスに返還された。
一方で、ハッカーは盗んだ資産の一部をイーサリアム(Ethereum/ETH)で11,700ETH(約51.6億円)にスワップし、その過程で約300万ドル(約4.4億円)の利益を得たとされる。現時点では、この利益を返還するかどうかは明らかになっていない。
GMXは迅速に対応し、Arbitrumとアバランチ(Avalanche)の両ネットワークにおいてGLPの発行・償還・取引を一時停止。さらに、48時間以内に資金が返還された場合、法的措置を取らないとする柔軟な対応を打ち出した。
ブロックチェーンセキュリティ企業PeckShield(ペックシールド)とCyvers(サイバーズ)は、今回のエクスプロイトの原因がGLP流動性プールにおける価格設定ロジックの再入性脆弱性にあったと分析している。
事件が投げかける課題と今後への示唆
今回の事件は、DeFi(分散型金融)プラットフォームの設計やガバナンスに内在するリスクを浮き彫りにした。特に複雑なトークノミクスや流動性構造を持つプロトコルでは、設計上のミスが重大なセキュリティリスクとなり得る。
GMXの迅速な対応と報奨金制度の導入は、損失の最小化と倫理的行動の促進に一定の効果をもたらした。他のプロジェクトにとっても、今後の対応策として参考になる事例といえる。また、事件後も仮想通貨市場はおおむね安定して推移しており、ビットコインは約2%、イーサリアムは約6%上昇した。これは、DeFiにおけるエクスプロイトが業界全体に連鎖的な売りを引き起こすとは限らないことを示唆している。
DeFiユーザーにとっては、今後も新興プロジェクトを利用する際には、リスク管理と事前調査(デューデリジェンス)の重要性が増す。今回のGMXハッキング事件は、脆弱性管理と危機対応の両面で貴重な教訓を提供する事例となった。
