El atacante responsable del robo de más de $40 millones del intercambio descentralizado de derivados GMX comenzó a devolver los fondos tras aceptar una recompensa de $5 millones ofrecida por el proyecto a modo de compensación ética («white hat bounty»).
El exploit afectó al pool GLP V1 de GMX en la red Arbitrum, permitiendo al hacker sustraer criptomonedas como USDC, FRAX, WBTC y WETH. En respuesta, GMX suspendió temporalmente las operaciones de V1 tanto en Arbitrum como en Avalanche. La versión V2 del protocolo y su token nativo no se vieron comprometidos.
GMX ofreció públicamente una recompensa del 10% de lo robado —equivalente a $5 millones— y se comprometió a no emprender acciones legales si los fondos eran devueltos en un plazo de 48 horas. El viernes, el explotador respondió con un escueto mensaje en cadena: «ok, los fondos serán devueltos más tarde». Poco después, comenzó a transferir fondos de regreso.
Inicialmente, se devolvieron $5.5 millones en FRAX, seguidos de otra transferencia de $5 millones adicionales. Posteriormente, el atacante envió aproximadamente 9,000 ETH, valorados en unos $27 millones, completando así la devolución de la mayor parte del capital sustraído.
El token GMX cayó cerca del 28% tras el incidente, tocando un mínimo de $10.45. Sin embargo, tras conocerse la decisión del hacker de devolver los fondos, el precio se recuperó un 14%, cotizando en torno a los $13.25 al cierre del viernes.
Detalles del exploit
En un análisis posterior, el equipo de GMX confirmó que la vulnerabilidad residía en una falla de reentrada dentro del contrato inteligente OrderBook. Esta permitió al atacante manipular el precio promedio en posiciones en corto de BTC, inflar el valor del token GLP y canjearlo con ganancias artificiales.
La respuesta fue inmediata: el equipo desactivó la acuñación y el canje de GLP en Arbitrum, rastreó los fondos junto con socios de seguridad y confirmó que GMX V2 no se vio afectado. Asimismo, se compartió una guía técnica para bifurcaciones de GMX V1, a fin de mitigar riesgos similares.
GMX informó que los fondos restantes se destinarán a reembolsos, y que los usuarios afectados podrán cerrar sus posiciones activas. Además, se planea discutir medidas adicionales dentro de la DAO del proyecto.
El protocolo, que permite operar con BTC, ETH, AVAX y otros activos con apalancamiento de hasta 100x, se lanzó en 2021 en Arbitrum One. Desde entonces, ha registrado más de $306 mil millones en volumen de operaciones y mantiene $265 millones en interés abierto, con cerca de 715,000 usuarios activos.
