GMX foi hackeado em 42 milhões de dólares! A "falha de reentrada" causou estragos, relatório oficial revela o plano de compensação

A antiga plataforma de negociação de futuros descentralizada GMX sofreu um ataque hacker em sua implantação V1 na Arbitrum em 9 de julho, resultando em perdas de até 42 milhões de dólares. Este incidente acendeu mais uma vez o alarme de segurança no campo das Finanças Descentralizadas. Na noite de 10 de julho, horário de Taiwan, a GMX publicou um relatório detalhado na plataforma X, revelando a causa raiz do ataque, as medidas iniciais de resposta e os planos subsequentes, além de explicar como compensar os usuários afetados.

GMX é hackeado devido a: "vulnerabilidade de reentrada" explorada

De acordo com o relatório oficial da GMX, este ataque ocorreu a 9 de julho de 2025, às 12:30 (UTC). O atacante explorou uma vulnerabilidade de "ataque de reentrada" (re-entrancy attack) no GMX V1 na Arbitrum. O hacker chamou diretamente a função increasePosition no contrato Vault, contornando o mecanismo que calcula o preço médio de venda a descoberto através dos contratos PositionRouter e PositionManager.

Os atacantes manipularam o preço médio de venda a descoberto do Bitcoin de 109,505.77 dólares para 1,913.70 dólares, e utilizaram um empréstimo relâmpago para comprar GLP (token de liquidez GMX) a 1.45 dólares, abrindo uma posição no valor de 15.38 milhões de dólares, e acabaram elevando o preço do GLP para mais de 27 dólares, realizando um lucro substancial.

O relatório indica que a entrada do ataque está localizada em uma função do contrato OrderBook, embora essa função tenha um modificador nonReentrant, ele apenas impede a reentrada dentro do mesmo contrato, não conseguindo evitar ataques entre contratos. Isso mostra os possíveis pontos cegos de segurança que os protocolos DeFi podem ter em interações complexas.

Medidas iniciais e plano subsequente da GMX

Em resposta a isso, o GMX agiu rapidamente após descobrir a vulnerabilidade, suspendendo as negociações na Avalanche para evitar a ampliação das perdas, e entrou em contato com Arbitrum, a exchange, os protocolos de ponte e os emissores de stablecoins (como Circle, Tether, Frax) para rastrear os fundos roubados, ao mesmo tempo que se comunicou com os atacantes por meio de mensagens on-chain. O GMX confirmou ainda que o GMX V2 não apresenta vulnerabilidades semelhantes, pois o cálculo do preço médio do airdrop e a execução de ordens são realizados dentro do mesmo contrato.

Para lidar com as consequências do ataque e proteger os direitos dos usuários, a GMX apresentou os seguintes planos específicos:

Distribuição de fundos e reservas para compensação: Atualmente, há aproximadamente 3,6 milhões de dólares em tokens no pool GLP, retidos devido a posições não liquidadas. As taxas do GLP V1 na Arbitrum são de aproximadamente 500 mil dólares (após a dedução da taxa de 30% que é automaticamente convertida em GMX), que serão transferidas para o tesouro da GMX DAO para compensar os detentores de GLP afetados. Os fundos remanescentes do GLP na Arbitrum serão alocados ao fundo de compensação, para que os detentores de GLP afetados possam solicitar.

Desativação da emissão e resgate de GLP: A emissão e o resgate de GLP na Arbitrum serão desativados. A emissão de GLP na Avalanche será desativada, mas a funcionalidade de resgate permanecerá aberta, permitindo que os usuários gerenciem de forma flexível.

Gestão de Posições e Ordens: Após a desativação do resgate de GLP na Arbitrum, a função de fechamento de posições V1 na Arbitrum e Avalanche será ativada, permitindo que os usuários fechem posições existentes. No entanto, a função de abertura de posições V1 não será ativada, para evitar que ataques semelhantes ocorram novamente. As ordens V1 existentes na Arbitrum e Avalanche não serão mais executadas, e os usuários devem cancelar todas as ordens V1 por conta própria.

Discussão de governança subsequente: a GMX DAO iniciará uma discussão de governança para planejar medidas adicionais de compensação, garantindo a distribuição justa dos fundos remanescentes e desenvolvendo estratégias de prevenção a longo prazo.

Suporte para o staking de esGMX: Os utilizadores que utilizam GLP para staking de esGMX na Arbitrum e Avalanche podem continuar a fazer staking. Os utilizadores na Avalanche podem resgatar GLP a qualquer momento, mas se o GLP não estiver em staking, é aconselhável realizar o resgate.

Sugestões para o fork do GMX V1: O GMX exorta todos os projetos de fork do V1 a tomarem duas medidas para prevenir ataques semelhantes:

1、Desativar a função de alavancagem;

2、Limitar a emissão de GLP.

O incidente de hack do GMX destacou novamente os complexos desafios de segurança que os protocolos DeFi enfrentam em meio ao seu rápido desenvolvimento. Embora o GMX tenha respondido rapidamente e publicado um relatório detalhado e um plano de compensação, este evento ainda serve como um lembrete para todos os participantes do DeFi de que, enquanto desfrutam das conveniências trazidas pelas finanças descentralizadas, devem manter uma vigilância alta sobre as potenciais vulnerabilidades dos contratos inteligentes. Isso também levou todo o ecossistema DeFi a uma reflexão mais profunda sobre a segurança dos protocolos e a gestão de riscos.