¡GMX fue hackeado por 42 millones de dólares! Un "vulnerabilidad de reentrada" causó estragos, el informe oficial revela el plan de compensación.

El intercambio de futuros perpetuos descentralizado de larga data GMX sufrió un ataque de hackers en su despliegue V1 en Arbitrum el 9 de julio, con pérdidas de hasta 42 millones de dólares. Este incidente vuelve a encender la alarma sobre la seguridad en el ámbito de las Finanzas descentralizadas. En la noche del 10 de julio, hora de Taiwán, GMX publicó un informe detallado en la plataforma X, revelando las causas fundamentales del ataque, las medidas iniciales de respuesta y los planes futuros, así como explicando cómo compensará a los usuarios afectados.

GMX sufrió un ataque debido a la explotación de una "vulnerabilidad de reentrada"

Según el informe oficial de GMX, el ataque ocurrió el 9 de julio de 2025 a las 12:30 (UTC). El atacante aprovechó la vulnerabilidad de "ataque de reentrada" en GMX V1 en Arbitrum. El hacker llamó directamente a la función increasePosition en el contrato Vault, eludiendo el mecanismo que calcula el precio promedio de la posición corta a través de los contratos PositionRouter y PositionManager en el proceso normal.

El atacante manipuló el precio promedio de las posiciones cortas de Bitcoin de 109,505.77 dólares a 1,913.70 dólares, y utilizó un préstamo relámpago para comprar GLP (token de liquidez GMX) a un precio de 1.45 dólares, abriendo una posición valorada en 15.38 millones de dólares, y finalmente elevó el precio de GLP a más de 27 dólares, obteniendo enormes ganancias.

El informe señala que la entrada del ataque se encuentra en una función del contrato OrderBook. Aunque esta función tiene un modificador nonReentrant, solo puede prevenir la reentrada dentro del mismo contrato y no puede detener ataques entre contratos. Esto muestra los posibles puntos ciegos de seguridad en los protocolos DeFi durante interacciones complejas.

Medidas iniciales de GMX y plan posterior

Ante esto, GMX actuó rápidamente tras descubrir la vulnerabilidad, suspendiendo el comercio en Avalanche para evitar que las pérdidas se ampliaran, y contactando a Arbitrum, al intercambio, a los protocolos de puente y a los emisores de stablecoins (como Circle, Tether, Frax) para rastrear los fondos robados, al mismo tiempo que se comunicaba con el atacante a través de mensajes en la cadena. GMX confirmó además que no existe una vulnerabilidad similar en GMX V2, ya que el cálculo del precio promedio de los cortos y la ejecución de órdenes se realizan dentro del mismo contrato.

Para gestionar las consecuencias de los ataques y proteger los derechos de los usuarios, GMX ha propuesto el siguiente plan específico:

Distribución de fondos y reserva de compensación: Actualmente hay aproximadamente 3.6 millones de dólares en tokens en el fondo GLP, retenidos debido a posiciones no cerradas. Las tarifas de GLP V1 en Arbitrum son aproximadamente 500,000 dólares (después de deducir el 30% de la tarifa que se convierte automáticamente en GMX), que se transferirán al tesoro de GMX DAO para compensar a los GLP afectados. Los fondos restantes de GLP en Arbitrum se asignarán al fondo de compensación, para que los poseedores de GLP afectados puedan solicitar.

Desactivación de la acuñación y redención de GLP: La acuñación y redención de GLP en Arbitrum será desactivada. La acuñación de GLP en Avalanche será desactivada, pero la función de redención permanecerá abierta, permitiendo a los usuarios manejarlo de manera flexible.

Gestión de posiciones y órdenes: Después de deshabilitar el canje de GLP en Arbitrum, la función de cierre de posiciones V1 en Arbitrum y Avalanche se activará, permitiendo a los usuarios cerrar posiciones existentes. Sin embargo, la función de apertura de posiciones V1 no se habilitará para prevenir que ataques similares ocurran nuevamente. Los pedidos V1 existentes en Arbitrum y Avalanche ya no se ejecutarán, y los usuarios deberán cancelar todas las órdenes V1 por su cuenta.

Discusión de gobernanza posterior: GMX DAO iniciará una discusión de gobernanza para planificar medidas de compensación adicionales, asegurando una distribución justa de los fondos restantes y estableciendo estrategias de prevención a largo plazo.

Soporte para la participación de esGMX: En Arbitrum y Avalanche, los usuarios que utilizan GLP para participar en esGMX pueden continuar participando. Los usuarios en Avalanche pueden canjear GLP en cualquier momento, pero si GLP no se utiliza para la participación, se recomienda proceder con el canje.

Sugerencias para la bifurcación de GMX V1: GMX insta a todos los proyectos de bifurcación V1 a tomar dos medidas para prevenir ataques similares:

1. Desactivar la función de apalancamiento;

2. Limitar la acuñación de GLP.

El incidente de hackeo de GMX ha destacado una vez más los complejos desafíos de seguridad que enfrentan los protocolos DeFi en su rápida evolución. A pesar de que GMX respondió rápidamente y publicó un informe detallado y un plan de compensación, este evento sigue recordando a todos los participantes de DeFi que, mientras disfrutan de las comodidades que ofrece la Finanzas descentralizadas, deben mantener una alta vigilancia sobre las posibles vulnerabilidades de los contratos inteligentes. Esto también ha llevado a todo el ecosistema DeFi a reflexionar más profundamente sobre la seguridad del protocolo y la gestión de riesgos.