GMX foi roubado US$ 42 milhões, como garantir a segurança DeFi?

Escrito por ChandlerZ, Foresight News

Em 9 de julho, o sistema V1 da GMX, uma exchange descentralizada, foi atacado na rede Arbitrum. O invasor explorou uma vulnerabilidade dentro do contrato para transferir aproximadamente US$ 42 milhões em ativos do pool de liquidez GLP. A GMX suspendeu a negociação na plataforma após o incidente e bloqueou as funções de cunhagem e resgate da GLP. O ataque não afetou o sistema V2 da GMX ou o token nativo, mas o incidente mais uma vez gerou discussão sobre o mecanismo de gerenciamento de ativos nos protocolos DeFi.

O processo do ataque e o fluxo de fundos

A análise da empresa de segurança PeckShield e da Slowfog revelou que os invasores exploraram uma falha na lógica de processamento computacional de AUM do GMX V1. Esse defeito faz com que o contrato atualize o preço médio global imediatamente após a abertura de uma posição vendida. Dessa forma, o invasor constrói um caminho de operação direcional para obter manipulação de preço de token e resgate de arbitragem.

Os invasores transferiram cerca de US$ 9,65 milhões em ativos da Arbitrum para a Ethereum, onde trocaram por DAI e ETH. Alguns dos fundos foram para o Tornado Cash, um protocolo de mixagem. Os aproximadamente US$ 32 milhões restantes em ativos permanecem na rede Arbitrum, envolvendo tokens como FRAX, wBTC, DAI e muito mais.

Após o incidente, a GMX gritou para o endereço do hacker on-chain, exigindo a devolução de 90% dos fundos, e estava disposta a oferecer uma recompensa de 10% de chapéu branco. De acordo com os dados on-chain mais recentes, os hackers da GMX trocaram ativos roubados do pool GMX V1 por ETH.

Os hackers roubaram WBTC/WETH/UNI/FRAX/LINK/USDC/USDT, e todos os outros ativos, exceto FRAX, foram vendidos por 11.700 ETH (cerca de US$ 32,33 milhões) e distribuídos para 4 carteiras para armazenamento. Portanto, o hacker GMX agora detém 11.700 ETH (cerca de US$ 32,33 milhões) e 10,495 milhões de FRAX por meio de 5 carteiras. Vale cerca de US $ 42,8 milhões.

A análise da Ember disse que a operação do hacker também deve significar que a parte do projeto GMX propôs reembolsar os ativos e obter uma recompensa de chapéu branco de 10%.

Uma falha na lógica do contrato

A empresa de segurança observou que, em vez de confiar no contrato para acesso não autorizado ou ignorar os controles de permissão, o invasor manipulou diretamente a função com base na lógica esperada e aproveitou a diferença de tempo de atualização de estado para chamar repetidamente a função durante o período de execução, ou seja, uma operação típica de reentrância.

De acordo com a SlowMist, a causa raiz do ataque é uma falha de design na versão GMX v1, e a operação de posição vendida atualizará imediatamente o preço médio curto global (globalShortAveragePrices), o que afeta diretamente o cálculo dos ativos sob gestão (AUM), resultando na manipulação do preço do token GLP. Um invasor explorou essa vulnerabilidade de design explorando a capacidade do Keeper de habilitar "timelock.enableLeverage" durante a execução da ordem, que é um pré-requisito para criar um grande número de posições vendidas. Por meio do ataque de reentrância, o invasor abriu com sucesso um grande número de posições vendidas, manipulou o preço médio global, inflou artificialmente o preço GLP em uma única transação e lucrou com a operação de resgate.

Esta não é a primeira vez que esse tipo de ataque aparece em projetos DeFi. Quando o contrato processa o saldo ou a atualização da posição fica atrás da cunhagem ou resgate do ativo, ele pode expor um estado inconsistente de curto prazo, e o invasor constrói o caminho da operação e retira os ativos não penhorados.

O GMX V1 usa um design de pool compartilhado, que consiste em vários ativos de usuário para formar um cofre unificado, e o contrato controla as informações da conta e o status de liquidez. O GLP é o token LP representativo do pool, e seu preço e taxa de câmbio são calculados dinamicamente por dados on-chain e lógica de contrato. Existem riscos observáveis nesse tipo de sistema de token sintético, incluindo amplificação de espaço de arbitragem, formação de espaço de manipulação e atraso de estado entre as chamadas.

Resposta oficial

Os funcionários da GMX emitiram rapidamente um comunicado após o ataque, dizendo que o ataque afetou apenas o sistema V1 e seu pool de GLP. GMX V2, tokens nativos e outros mercados não são afetados. Para evitar possíveis ataques futuros, a equipe suspendeu as operações de negociação na V1 e desativou os recursos de cunhagem e resgate de GLP na Arbitrum e na Avalanche.

A equipe também afirmou que seu foco atual é restaurar a segurança operacional e auditar os internos do contrato. O sistema V2 não herda a estrutura lógica de V1 e usa diferentes mecanismos de compensação, cotação e tratamento de posição com exposição limitada ao risco.

O token GMX, que caiu mais de 17% nas 24 horas após o ataque, de uma baixa de cerca de US$ 14,42 para US$ 10,3, agora se recuperou um pouco e agora está sendo negociado a US$ 11,78. Antes do evento, a GMX tinha um volume acumulado de negociação de mais de US$ 30,5 bilhões, mais de 710.000 usuários registrados e mais de US$ 229 milhões em contratos em aberto.

A segurança dos criptoativos continua sob pressão

O ataque GMX não é um caso isolado. Desde 2025, a indústria de criptomoedas perdeu mais dinheiro devido a hackers do que no mesmo período do ano passado. Embora o número de incidentes tenha diminuído no segundo trimestre, isso não significa que o risco tenha diminuído. De acordo com o relatório da CertiK, as perdas totais devido a hackers, golpes e exploits ultrapassaram US$ 2,47 bilhões no primeiro semestre de 2025, um aumento de quase 3% ano a ano em relação aos US$ 2,4 bilhões roubados em 2024. O roubo da carteira fria da Bybit e o hackeamento da Cetus DEX causaram um total de US$ 1,78 bilhão em danos, respondendo pela maior parte das perdas totais. Esse tipo de roubo centralizado em grande escala mostra que os ativos de alto valor ainda carecem de mecanismos adequados de isolamento e redundância, e a fragilidade do design da plataforma ainda não é abordada de forma eficaz.

Entre os tipos de ataques, as invasões de carteira são as mais caras para causar perdas financeiras. Houve 34 incidentes relacionados no primeiro semestre do ano, resultando na transferência de aproximadamente US$ 1,7 bilhão em ativos. Em comparação com explorações tecnicamente sofisticadas, os ataques de carteira são implementados principalmente por meio de engenharia social, links de phishing ou falsificação de permissão, que tem uma barreira técnica menor à entrada, mas é extremamente destrutiva. Os hackers estão cada vez mais gravitando em direção à rampa de acesso de ativos aos terminais do usuário, especialmente em cenários em que a autenticação multifator não está habilitada ou as carteiras quentes são confiáveis.

Ao mesmo tempo, os ataques de phishing ainda estão crescendo rapidamente, tornando-se o vetor mais incidental. Um total de 132 ataques de phishing foram registrados no primeiro semestre do ano, resultando em uma perda acumulada de US$ 410 milhões. Os invasores podem forjar páginas da web, interfaces de contrato ou processos de confirmação de transações disfarçados para orientar os usuários a operar incorretamente e obter chaves privadas ou permissões de autorização. Os invasores estão constantemente adaptando suas táticas para tornar o phishing mais difícil de identificar, e a conscientização e as ferramentas de segurança do lado do usuário se tornaram uma linha crítica de defesa.