Na quarta-feira, 9 de julho, o protocolo descentralizado de negociações GMX foi alvo de um ataque cibernético que resultou no desvio de aproximadamente US$ 42 milhões em diferentes criptoativos. A ação maliciosa afetou diretamente o pool GLP da versão V1 da plataforma na rede Arbitrum, conforme confirmado posteriormente pela equipe do projeto.
O invasor conseguiu extrair valores significativos, entre eles mais de US$ 10 milhões em Frax Dollar (FRAX), US$ 9,6 milhões em wrapped Bitcoin (wBTC) e cerca de US$ 5 milhões em stablecoin DAI. Após o ataque, uma parte dos fundos — especialmente os US$ 9,6 milhões em ativos — foi transferida para a blockchain Ethereum e convertida em DAI e ETH. Os demais US$ 32 milhões seguiram armazenados na rede Arbitrum.
Dados on-chain analisados pela plataforma Lookonchain indicam que o autor do ataque já converteu quase todos os fundos desviados — exceto os tokens FRAX — em 11.700 ETH. Posteriormente, esse montante em Ethereum foi redistribuído para quatro novas carteiras distintas.
Diante da situação, a equipe do GMX anunciou medidas emergenciais, suspendendo temporariamente a emissão e o resgate de tokens GLP nas redes Arbitrum e Avalanche, com o objetivo de conter danos adicionais. Também recomendou que os usuários desativassem a alavancagem e ajustassem suas configurações para bloquear novas emissões de GLP.
Embora o ataque tenha comprometido parte da infraestrutura, o GMX garantiu que sua versão V2, incluindo os mercados, pools de liquidez e o token GMX, não foram afetados pela brecha de segurança.
Em tentativa de recuperar parte dos valores, o protocolo enviou uma mensagem on-chain diretamente ao hacker, propondo uma recompensa de white-hat no valor de US$ 4,2 milhões. Na oferta, o GMX também prometeu não tomar medidas legais caso 90% dos fundos fossem devolvidos dentro de um prazo de 48 horas. Até o momento, nenhuma resposta foi recebida.
A empresa de segurança SlowMist atribuiu o incidente a uma falha de design na arquitetura da V1 do GMX. Segundo sua análise, a vulnerabilidade permitiu ao invasor manipular o cálculo de ativos sob gestão (AUM), distorcendo assim o valor do token GLP. Utilizando uma função que habilita alavancagem durante a execução de ordens, o atacante explorou um ataque de reentrância — técnica que permite chamadas repetidas dentro de uma mesma função, levando o contrato inteligente a computar valores incorretos.
A manipulação envolveu a abertura de posições vendidas (short) expressivas em uma única transação, distorcendo o preço global dos ativos e, com isso, inflacionando artificialmente o valor do GLP. O criminoso então resgatou os tokens com lucro.
Esse incidente se soma a uma série de ataques que têm abalado o setor de finanças descentralizadas (DeFi). Segundo relatório recente da CertiK, o segundo trimestre de 2025 registrou perdas superiores a US$ 801 milhões decorrentes de 144 incidentes. As principais causas foram phishing (US$ 395 milhões em 52 casos) e vulnerabilidades de código (US$ 235,8 milhões em 47 ocorrências), refletindo o elevado grau de fragilidade e risco ainda presente no ecossistema cripto.
