A pesar de las capas de escrutinio, el pool GLP V1 de GMX fue hackeado por más de 40 millones de dólares en un descarado exploit. Con las funciones de apalancamiento ahora congeladas, los traders se preguntan: ¿Cómo se rompieron los contratos auditados? ¿Y qué significa esto para el futuro del trading perpetuo en DeFi? El 9 de julio, el exchange perpetuo y spot on-chain GMX confirmó que su pool GLP V1 en Arbitrum había sido explotado, con más de 40 millones de dólares en tokens variados desviados a una wallet desconocida en una sola transacción. El ataque, que parece haber manipulado el mecanismo de la bóveda GLP, obligó al protocolo a detener el trading y pausar la acuñación y el rescate de GLP tanto en Arbitrum como en Avalanche. GMX aclaró que la brecha se limitaba a la V1 y no afectaba a GMX V2, su token u otros mercados asociados. Si bien el equipo de GMX aún no ha revelado el vector exacto del exploit, el incidente expone la fragilidad incluso de los contratos inteligentes auditados y plantea preguntas urgentes sobre la sostenibilidad de los mercados de apalancamiento descentralizados, donde GMX ha sido durante mucho tiempo un actor dominante. El camino del atacante para drenar 40 millones de dólares del pool GLP V1 de GMX fue alarmantemente sencillo pero devastadoramente eficaz. Según los analistas de blockchain, el exploit implicó la manipulación del mecanismo de apalancamiento del protocolo para acuñar tokens GLP excesivos sin la garantía adecuada. Una vez que el atacante infló artificialmente su posición, canjeó los GLP acuñados fraudulentamente por activos subyacentes, dejando al pool con un déficit de más de 40 millones de dólares en cuestión de bloques. Los fondos no permanecieron inactivos por mucho tiempo. Según Cyvers y Lookonchain, el atacante utilizó un contrato malicioso financiado a través de Tornado Cash para ocultar el origen del exploit. Aproximadamente 9,6 millones de dólares del botín estimado de 42 millones de dólares se transfirieron de Arbitrum a Ethereum utilizando el Protocolo de Transferencia Cross-Chain de Circle, y porciones se convirtieron rápidamente a DAI. 🚨ALERTA🚨Nuestro sistema ha detectado una transacción sospechosa que involucra a @GMX_IO. Un contrato malicioso, desplegado por una dirección financiada a través de @TornadoCash, ha explotado aproximadamente 42 millones de dólares en activos en la red de Arbitrum ( #ARB ), incluyendo: $ETH, $USDC, $fsGLP, $DAI, $UNI,… pic.twitter.com/x3B5OFMcyP Los activos drenados incluyeron ETH, USDC, fsGLP, DAI, UNI, FRAX, USDT, WETH y LINK, lo que convierte a este en un ataque multi-activo que abarca tanto tokens nativos como sintéticos. Antes del hack, los contratos V1 de GMX fueron revisados por las principales firmas de auditoría. La auditoría previa al despliegue de Quantstamp evaluó los riesgos centrales como la reentrada y los controles de acceso, mientras que ABDK Consulting realizó pruebas de estrés adicionales. Sin embargo, ninguna de las auditorías detectó el vector específico de manipulación del apalancamiento que permitió este exploit. La supervisión destaca un punto ciego recurrente en la seguridad de DeFi: las auditorías tienden a centrarse en las vulnerabilidades generales, pero a menudo pasan por alto los fallos lógicos específicos del protocolo. Irónicamente, GMX tenía salvaguardias proactivas implementadas, incluyendo un programa de recompensas por errores de 5 millones de dólares y una supervisión activa por parte de empresas como Guardian Audits. Este exploit no solo socava a GMX, sino que pone en duda el paradigma de seguridad impulsado por las auditorías en su conjunto. Si un protocolo tan maduro y probado como GMX puede perder 40 millones de dólares por un fallo lógico, las implicaciones para los proyectos menos examinados son profundamente preocupantes. Mientras tanto, la apelación on-chain de GMX al hacker, ofreciendo una recompensa del 10% por la devolución de los fondos, subraya la dura realidad de DeFi: los esfuerzos de recuperación a menudo se basan en la negociación con los atacantes. [CoinDesk]