Escrito por: ChandlerZ, Foresight News
El 9 de julio, el sistema V1 de la plataforma de intercambio descentralizada GMX fue atacado en la red Arbitrum. El atacante aprovechó una vulnerabilidad interna del contrato para retirar aproximadamente 42 millones de dólares de la piscina de liquidez GLP. GMX ha suspendido el comercio en la plataforma y ha bloqueado las funciones de acuñación y redención de GLP. El ataque no afectó al sistema V2 de GMX ni a su token nativo, pero el incidente ha reavivado la discusión sobre los mecanismos de gestión de activos internos de los protocolos DeFi.
Proceso de ataque y flujo de fondos
Las empresas de seguridad PeckShield y Slow Mist han señalado que los atacantes aprovecharon un defecto en la lógica de procesamiento de AUM de GMX V1. Este defecto permitió que el contrato actualizara inmediatamente el precio promedio global después de abrir una posición corta. Los atacantes utilizaron esto para construir una ruta de operación dirigida, logrando manipulación del precio del token y redenciones de arbitraje.
Los atacantes transfirieron aproximadamente 9.65 millones de dólares en activos de Arbitrum a Ethereum, y luego los intercambiaron por DAI y ETH. Parte de los fondos fluyó hacia el protocolo de mezcla Tornado Cash. Aproximadamente 32 millones de dólares en activos siguen en la red de Arbitrum, involucrando tokens como FRAX, wBTC y DAI.
Después del incidente, GMX se dirigió en la cadena a la dirección del hacker, solicitando la devolución del 90% de los fondos y ofreciendo un 10% de recompensa como “white hat”. Según los datos más recientes en la cadena, el hacker de GMX ya ha convertido los activos robados del fondo GMX V1 a ETH.
Los activos robados por los hackers incluyen WBTC/WETH/UNI/FRAX/LINK/USDC/USDT. Actualmente, todos los activos excepto FRAX han sido vendidos a cambio de 11,700 ETH (aproximadamente 32.33 millones de dólares) y se han distribuido en 4 billeteras para su almacenamiento. Por lo tanto, el hacker de GMX ahora posee 11,700 ETH (aproximadamente 32.33 millones de dólares) a través de 5 billeteras, junto con 10.495 millones de FRAX. El valor total es de aproximadamente 42.8 millones de dólares.
El análisis de Yu Jin afirma que esta acción de los hackers también debería significar el rechazo a la propuesta del equipo del proyecto GMX de reembolsar activos a cambio de un 10% de recompensa por la captura de hackers.
Defectos en la lógica del contrato
La empresa de seguridad señaló que los atacantes no dependían del acceso no autorizado a contratos ni eludir el control de permisos, sino que operaban directamente en función de la lógica esperada, aprovechando la diferencia de tiempo de actualización del estado para invocar repetidamente la función durante el período de ejecución, es decir, una operación de reentrada típica.
Slow Fog afirma que la causa fundamental de este ataque radica en un defecto de diseño en la versión GMX v1, donde la operación de posiciones cortas actualiza inmediatamente el precio promedio global de cortos (globalShortAveragePrices), lo que afecta directamente el cálculo del tamaño de gestión de activos (AUM), lo que lleva a la manipulación del precio del token GLP. Los atacantes aprovecharon que el Keeper activara la función “timelock.enableLeverage” durante la ejecución de órdenes (lo cual es un requisito previo para crear grandes posiciones cortas) para explotar esta vulnerabilidad de diseño. A través de un ataque de reentrada, los atacantes establecieron con éxito grandes posiciones cortas, manipulando el precio promedio global, elevando artificialmente el precio de GLP en una sola transacción y obteniendo ganancias a través de operaciones de redención.
Este tipo de ataque no es la primera vez que aparece en proyectos DeFi. Cuando el contrato maneja el saldo o la actualización de posiciones con retraso respecto a la acuñación o redención de activos, puede exponer un estado inconsistente temporal que los atacantes pueden utilizar para construir un camino de operación y extraer activos no colateralizados.
GMX V1 utiliza un diseño de piscina de fondos compartidos, compuesto por activos de múltiples usuarios que forman un vault unificado, controlado por contratos que gestionan la información de las cuentas y el estado de liquidez. GLP es el token LP representativo de esta piscina, cuyo precio y tasa de intercambio se calculan dinámicamente a partir de datos en cadena y lógica de contratos. Este tipo de sistema de tokens sintéticos presenta riesgos observables, incluyendo la ampliación del espacio de arbitraje, la formación de espacio de manipulación y el retraso entre llamadas de estado.
respuesta oficial
GMX oficial publicó rápidamente una declaración después del ataque, indicando que este ataque solo afectó al sistema V1 y su fondo GLP. GMX V2, el token nativo y otros mercados no se vieron afectados. Para prevenir posibles ataques futuros, el equipo ha suspendido las operaciones de trading en V1 y deshabilitado las funciones de acuñación y redención de GLP en Arbitrum y Avalanche.
El equipo también declaró que su enfoque actual es restaurar la seguridad operativa y auditar los mecanismos internos del contrato. El sistema V2 no hereda la estructura lógica del V1, adopta diferentes mecanismos de liquidación, cotización y gestión de posiciones, y tiene una exposición al riesgo limitada.
El token GMX cayó más del 17% en las 24 horas posteriores al ataque, de aproximadamente 14.42 dólares a un mínimo de 10.3 dólares, y actualmente ha tenido una leve recuperación, cotizando a 11.78 dólares. Antes de este incidente, el volumen total de comercio de GMX en la red superó los 30.5 mil millones de dólares, con más de 710,000 usuarios registrados y un tamaño de contratos no liquidados superior a 229 millones de dólares.
La seguridad de los activos criptográficos sigue bajo presión.
Los ataques a GMX no son un caso aislado. Desde 2025, la industria de las criptomonedas ha acumulado pérdidas por ataques de hackers que han superado los niveles del año pasado. Aunque el número de incidentes disminuyó en el segundo trimestre, esto no significa que el riesgo se haya reducido. Un informe de CertiK señala que, en la primera mitad de 2025, las pérdidas totales causadas por hackers, fraudes y explotación de vulnerabilidades han superado los 2.47 mil millones de dólares, un aumento de casi el 3% en comparación con los 2.4 mil millones de dólares robados en 2024. El robo de la billetera fría de Bybit y la invasión de Cetus DEX causaron una pérdida total de 1.78 mil millones de dólares, representando la mayor parte de todas las pérdidas. Este robo masivo y concentrado demuestra que los activos de alto valor aún carecen de mecanismos de aislamiento y redundancia adecuados, y las vulnerabilidades en el diseño de la plataforma aún no se han resuelto de manera efectiva.
En los tipos de ataques, las pérdidas económicas causadas por la invasión de billeteras son las más graves. En la primera mitad del año, ocurrieron 34 incidentes relacionados, lo que resultó en la transferencia de aproximadamente 1.7 mil millones de dólares en activos. En comparación con las explotaciones de vulnerabilidades técnicamente complejas, los ataques a billeteras se llevan a cabo en su mayoría a través de ingeniería social, enlaces de phishing o engaño de permisos, lo que implica una barrera técnica más baja, pero es extremadamente destructivo. Los hackers están cada vez más inclinados a dirigirse a las entradas de activos en los terminales de los usuarios, especialmente en escenarios donde no se ha habilitado la verificación en múltiples pasos o se depende de billeteras calientes.
Al mismo tiempo, los ataques de phishing siguen en rápido crecimiento, convirtiéndose en el método más común de incidentes. En la primera mitad del año se registraron 132 ataques de phishing, que causaron pérdidas acumuladas de 410 millones de dólares. Los atacantes engañan a los usuarios para que realicen operaciones incorrectas mediante la falsificación de páginas web, interfaces de interacción de contratos o procesos de confirmación de transacciones disfrazados, logrando así obtener claves privadas o permisos de autorización. Los atacantes están constantemente ajustando sus estrategias, lo que hace que el comportamiento de phishing sea más difícil de identificar, y la conciencia de seguridad y las herramientas disponibles para los usuarios se han convertido en la primera línea de defensa.
