El 9 de julio, GMX, una plataforma de intercambio descentralizado de contratos perpetuos que opera en las redes Arbitrum y Avalanche, sufrió una explotación que costó más de 60 millones de dólares estadounidenses. Según Lookonchain, una plataforma que monitorea eventos en cadena, el hacker devolvió 10 millones de dólares en Legacy Frax Dollar (FRAX), una criptomoneda vinculada al dólar estadounidense. Se anticipa que el hacker podría devolver al menos 42 millones a cambio de una recompensa de 5 millones por descubrir el error.
El explorador de bloques Arbiscan verifica que los 10 millones fueron reembolsados a un contrato en Arbitrum llamado GMX Deployer. Esta cuenta parece tener derechos administrativos en la plataforma GMX y probablemente pertenece a los gerentes del intercambio de contratos perpetuos. Todo el ataque a GMX ocurrió en Arbitrum, ya que una alerta de seguridad impidió un incidente similar en Avalanche.
A pesar de este reembolso, el hacker aún posee aproximadamente 11,700 ETH procedentes del contrato explotado. Desde que se apoderó de estas monedas, estas han generado ganancias no realizadas de alrededor de 3 millones de dólares, debido al aumento del precio del ether a alrededor de 3 mil dólares.
Según una declaración de GMX, el ataque se debió a un fallo en el siguiente contrato inteligente. A pesar de que esta función tiene el modificador nonReentrant para proteger contra reentradas, esto solo previene reentradas para funciones dentro del mismo contrato, es decir, dentro del contrato OrderBook. El atacante explotó esta reentrada para llamar directamente a increasePosition en el contrato Vault.
En resumen, este ataque de reentrada habría permitido al hacker eludir los cálculos locales del precio de bitcoin (BTC), abrir una posición de futuros en corto y manipular el precio promedio corto de BTC hacia abajo, desde un valor inicial de 109,505.77 dólares hasta 1,913.70 dólares.
Luego, el atacante solicitó un préstamo flash en GMX de un token cuyo ticker es GLP a un precio justo de 1.45 dólares, y abrió una posición larga equivalente a 15 millones de dólares. Debido a la manipulación del precio promedio de venta, las pérdidas por venta se calcularon en 859,000,107.173. Esto infló el precio del GLP a más de 27 dólares, momento en el cual el atacante canjeó el GLP acuñado a ese precio.
En un mensaje personal para el hacker fechado el 10 de julio, GMX confirmó que la recompensa por devolver los fondos sigue en pie. El 11 de julio, el hacker comenzó a devolver parte de los fondos a la dirección del intercambio.
