はじめに
2025年7月、分散型取引所GMXの旧バージョンである「GMX V1」のGLPプールにおいて、不正流出事件が発生し、約60億円相当の仮想通貨が盗まれました。GLPはユーザーが資産を預けて流動性提供を行う仕組みであり、今回の攻撃はその中核を狙ったもの。
現在GMXはV1の取引とGLP関連機能を停止し、被害の拡大を防ぐとともに、開発陣が緊急調査を進めています。本件はDeFiのセキュリティリスクを改めて浮き彫りにした事例です。
【概要】
分散型取引所GMXのV1版GLPプールに脆弱性が見つかり、約4,000万ドル(約61億円)相当の仮想通貨が不正流出しました。攻撃者はGLPを通じてUSDCを抜き取り、ETH経由でDAI、FRAX、WBTCなどに資産を分散。GMXはアービトラムおよびアバランチ上のGLP関連機能を即時停止し、現在も原因究明と調査を進めています。被害はV1のGLPに限定され、GMX V2や主要機能には影響がないと発表されました。
【特徴】
-
V1限定の被害:不正アクセスは「GMX V1」のGLPプールに限られ、最新のGMX V2には影響なし。
-
GLPの仕組み:GLPは複数の資産を集約して裏付けとする流動性提供モデル。GLP保有者は利回りを得られるが、今回はその仕組みが狙われた。
-
高度なブロックチェーン攻撃:USDCからDAI、FRAX、WBTCなどへ資金を分散させる多段階の手口で資産追跡を困難に。
【注目ポイント】
-
盗難資産の総額は4,000万ドル超:ハッカー関連ウォレットには依然4,400万ドル相当が存在。
-
運営はハッカーに返還交渉中:48時間以内の資産返却で法的措置を免除と通告。
-
今後の再発防止策に注目:パートナー企業と連携した技術レポートの公開を予告。
まとめ
今回のGMX V1における仮想通貨不正流出事件は、DeFiにおけるセキュリティの脆弱性が依然として存在することを浮き彫りにしました。GMXはV2には影響がないとしていますが、信頼回復には徹底した原因究明と透明な情報公開が求められます。
今後、返還交渉の行方や技術報告の内容に注目が集まりそうです。ユーザーにとっては、利用中のDeFiプロトコルのバージョンやセキュリティ体制に目を向ける必要性が再認識される出来事です。