GMX라는 분산형 파생 거래 플랫폼에서 발생한 대규모 해킹 사건의 배후자가 약 4,200만 달러(약 584억 원)의 자산을 탈취한 후, 그중 상당 부분을 이더리움(ETH)으로 환전한 사실이 블록체인 데이터 분석을 통해 드러났다. 블록체인 분석 플랫폼 룩온체인에 따르면, 공격자는 현재까지 약 1만 1,700 ETH(약 491억 원)를 확보하였으며, 이를 4개의 새로운 지갑으로 분산 이체한 상태이다.

이번 공격은 지난 7월 9일 GMX V1의 핵심 유동성 풀인 GLP(GMX Liquidity Provider)를 목표로 하여 발생하였다. 공격자는 GMX의 자산 가격 산출 방식의 취약점을 겨냥한 '재진입 공격(re-entrancy attack)'을 통해 토큰 가격을 조작하였고, 이로 인해 대규모 자산 유출에 성공하였다. 피해 자산 목록에는 레거시 프랙스달러(FRAX)로 약 1,000만 달러(약 139억 원), 래핑된 비트코인(wBTC) 960만 달러(약 133억 원), DAI 스테이블코인 약 500만 달러(약 70억 원) 등이 포함되어 있다.

사고 발생 직후, GMX는 아비트럼(Arbitrum) 기반의 GMX V1 플랫폼에서 GLP 토큰의 발행 및 상환을 중단하였다. 다행히도 이번 해킹 사건은 GMX V2 및 GMX 토큰에 전혀 영향을 미치지 않았다고 프로젝트팀은 강조하였다. 현재 GMX는 사용자들에게 레버리지 비활성화 및 계정 설정 변경을 요청하여 보안 강화를 도모하고 있다.

블록체인 보안 기업 슬로우미스트(SlowMist)는 이번 해킹의 원인이 GMX V1에 존재하는 설계 결함이라고 분석하고 있다. 공격자는 스마트 계약 내 보유 자산 계산 방식에 접근하여 단일 거래로 대규모 숏 포지션을 열어 GLP 가격 지표를 왜곡하였다. 슬로우미스트는 “스마트 계약이 잔액을 잘못 계산하도록 만든 정교한 함수 호출이 이루어졌다”라고 설명하였다.

GMX는 해커에게 420만 달러(약 58억 원)의 백색 해커 보상금을 제안하며, 남은 자산의 90%를 48시간 이내에 반환하면 법적 조치를 취하지 않겠다고 밝혔다. 그러나 현재까지 해커는 어떠한 응답도 하지 않고 있는 상황이다.

이번 사건은 2025년 2분기 블록체인 산업 내 보안 위협이 얼마나 심각한지를 잘 보여주고 있다. 보안업체 CertiK의 보고서에 따르면, 해당 분기 동안 총 144건의 해킹 및 사기가 발생하여 8억 130만 달러(약 1조 1,133억 원)가 소실되었으며, 특히 피싱 공격으로만 3억 9,500만 달러(약 5,495억 원)가 도난당한 것으로 밝혀졌다. 코드의 취약점으로 인해 발생한 피해 역시 2억 3,580만 달러(약 3,287억 원)에 달한다.

이 사건은 탈중앙 금융(DeFi) 시스템의 보안 강화 필요성을 다시 한 번 강하게 일깨워주고 있으며, 업계 전반에 걸쳐 중요한 경고로 작용할 것으로 예상된다. 블록체인 기술이 발전함에 따라 보안과 관련한 이슈는 더욱 큰 관심을 받고 있으며, 이러한 사건들을 통해 신뢰할 수 있는 시스템을 구축하는 것이 무엇보다 중요하다는 점이 부각된다.