GMX foi roubado 42 milhões de dólares, como deve ser garantida a segurança das Finanças Descentralizadas?

Escrito por: ChandlerZ, Foresight News

No dia 9 de julho, o sistema V1 da plataforma de negociação descentralizada GMX foi atacado na rede Arbitrum. O atacante explorou uma vulnerabilidade interna do contrato para transferir cerca de 42 milhões de dólares de ativos do pool de liquidez GLP. Após o incidente, a GMX suspendeu as negociações na plataforma e bloqueou as funções de emissão e resgate do GLP. O ataque não afetou o sistema V2 da GMX ou o token nativo, mas o evento levantou novamente discussões sobre os mecanismos de gestão de ativos internos dos protocolos DeFi.

Processo de ataque e fluxo de fundos

A empresa de segurança PeckShield e a SlowMist analisaram e indicaram que os atacantes exploraram uma falha na lógica de processamento de cálculo de AUM do GMX V1. Essa falha fez com que o contrato atualizasse imediatamente o preço médio global após a abertura de uma posição curta. Os atacantes aproveitaram isso para construir um caminho de operação direcionado, realizando manipulação de preços de tokens e resgates de arbitragem.

Um atacante transferiu cerca de 9,65 milhões de dólares em ativos de Arbitrum para Ethereum, e depois trocou por DAI e ETH. Parte dos fundos foi direcionada para o protocolo de mistura Tornado Cash. Cerca de 32 milhões de dólares em ativos ainda permanecem na rede Arbitrum, envolvendo tokens como FRAX, wBTC e DAI.

Após o incidente, a GMX fez um apelo na blockchain ao endereço do hacker, solicitando a devolução de 90% dos fundos e oferecendo 10% como recompensa para hackers éticos. De acordo com os dados mais recentes na blockchain, o hacker da GMX já trocou os ativos roubados do pool GMX V1 por ETH.

Os ativos roubados pelo hacker incluem WBTC/WETH/UNI/FRAX/LINK/USDC/USDT. Atualmente, todos os ativos, exceto FRAX, foram vendidos e trocados por 11.700 ETH (aproximadamente 32,33 milhões de dólares) e foram dispersos em 4 carteiras para armazenamento. Portanto, o hacker da GMX agora possui 11.700 ETH (aproximadamente 32,33 milhões de dólares) e 10,495 milhões de FRAX em 5 carteiras. O valor total é aproximadamente 42,8 milhões de dólares.

A análise da Ember afirma que essa ação dos hackers também deve significar a recusa da proposta da equipe do projeto GMX de devolver os ativos em troca de uma recompensa de 10% como “white hat”.

Defeitos na lógica do contrato

A empresa de segurança apontou que os atacantes não dependeram de acesso não autorizado ao contrato ou de contornar o controlo de permissões, mas sim de operar diretamente com funções de lógica esperada e de aproveitar a diferença de tempo de atualização de estado para chamar repetidamente a função durante o período de execução, ou seja, uma típica operação de reentrada.

A Slow Mist afirmou que a causa fundamental deste ataque reside em uma falha de design na versão GMX v1, onde as operações de posições vendidas atualizam imediatamente o preço médio global das posições vendidas (globalShortAveragePrices), o que afeta diretamente o cálculo do tamanho do ativo sob gestão (AUM), resultando em manipulação do preço do token GLP. Os atacantes exploraram a funcionalidade “timelock.enableLeverage” ativada pelo Keeper durante a execução da ordem (que é uma condição prévia para a criação de grandes posições vendidas) para tirar proveito dessa vulnerabilidade de design. Através de um ataque de reentrada, os atacantes conseguiram estabelecer uma grande quantidade de posições vendidas, manipulando o preço médio global, elevando artificialmente o preço do GLP em uma única transação e lucrando através de operações de resgate.

Este tipo de ataque não é a primeira vez que aparece em projetos DeFi. Quando o contrato lida com saldos ou atualizações de posições que estão atrasadas em relação à criação ou resgate de ativos, pode expor um estado inconsistente temporário, que é explorado pelos atacantes para construir caminhos de operação e extrair ativos não garantidos.

O GMX V1 utiliza um design de pool de fundos compartilhados, constituído por ativos de vários usuários formando um vault unificado, com informações de conta e estado de liquidez controlados por contrato. O GLP é o token LP representativo desse pool, cujo preço e taxa de troca são calculados dinamicamente com base em dados on-chain e lógica de contrato. Esse tipo de sistema de token sintético apresenta riscos observáveis, incluindo ampliação de espaço de arbitragem, formação de espaço de manipulação e latências entre chamadas de estado.

Resposta oficial

A GMX oficial publicou rapidamente um comunicado após o ataque, afirmando que o ataque afetou apenas o sistema V1 e seu fundo GLP. O GMX V2, o token nativo e outros mercados não foram afetados. Para prevenir possíveis ataques futuros, a equipe suspendeu as operações de negociação no V1 e desativou as funcionalidades de emissão e resgate de GLP na Arbitrum e Avalanche.

A equipe também declarou que seu foco atual de trabalho é restaurar a segurança operacional e auditar os mecanismos internos do contrato. O sistema V2 não herdou a estrutura lógica do V1, adotando mecanismos diferentes de liquidação, cotação e tratamento de posições, com exposição ao risco limitada.

O token GMX caiu mais de 17% nas 24 horas após o ataque, caindo de cerca de 14,42 dólares para um mínimo de 10,3 dólares, atualmente ligeiramente recuperado, sendo cotado a 11,78 dólares. Antes do incidente, o volume total de transações da GMX ultrapassava 30,5 bilhões de dólares, com mais de 710 mil usuários registrados e um valor de contratos em aberto superior a 229 milhões de dólares.

A segurança dos ativos digitais continua sob pressão.

Os ataques à GMX não são um caso isolado. Desde 2025, a indústria de criptomoedas já perdeu mais de os níveis do ano passado devido a ataques de hackers. Embora o número de eventos tenha diminuído no segundo trimestre, isso não significa que o risco tenha diminuído. Um relatório da CertiK apontou que, no primeiro semestre de 2025, as perdas totais causadas por hackers, fraudes e explorações já ultrapassaram 2,47 bilhões de dólares, um aumento de quase 3% em relação aos 2 bilhões de dólares roubados em 2024. O roubo da carteira fria da Bybit e a invasão da Cetus DEX resultaram em perdas totais de 1,78 bilhão de dólares, representando a maior parte de todas as perdas. Esses grandes roubos centralizados mostram que ativos de alto valor ainda carecem de mecanismos de isolamento e redundância adequados, e as vulnerabilidades no design da plataforma ainda não foram efetivamente resolvidas.

Entre os tipos de ataques, as invasões a carteiras resultam nas perdas econômicas mais severas. No primeiro semestre, ocorreram 34 incidentes relacionados, resultando na transferência de aproximadamente 1,7 bilhões de dólares em ativos. Em comparação com a exploração de vulnerabilidades tecnicamente complexas, os ataques a carteiras são na maioria das vezes realizados por meio de engenharia social, links de phishing ou enganos de permissão, apresentando uma barreira técnica mais baixa, mas são extremamente destrutivos. Os hackers estão cada vez mais inclinados a atacar os pontos de entrada dos ativos dos usuários, especialmente em cenários onde a autenticação multifatorial não está ativada ou onde se depende de carteiras quentes.

Ao mesmo tempo, os ataques de phishing continuam a crescer rapidamente, tornando-se o método mais frequente de incidentes. No primeiro semestre, foram registados 132 ataques de phishing, resultando em perdas acumuladas de 410 milhões de dólares. Os atacantes levam os usuários a cometer erros ao falsificar páginas da web, interfaces de interação de contratos ou processos de confirmação de transações disfarçados, visando a obtenção de chaves privadas ou permissões de autorização. Os atacantes estão constantemente ajustando suas estratégias, tornando os comportamentos de phishing mais difíceis de identificar, e a conscientização de segurança e a equipagem de ferramentas do lado do usuário tornaram-se a linha de defesa crucial.