Resumo
- A GMX disse que uma versão inicial da exchange descentralizada foi explorada.
- Cerca de R$ 220 milhões em ativos foram perdidos, possivelmente devido a um ataque de reentrada.
- O projeto ofereceu ao invasor uma “recompensa white-hat de 10%” se os fundos fossem devolvidos em 48 horas.
A GMX, uma exchange descentralizada (DEX) especializada em negociação de futuros perpétuos de criptomoedas entre blockchains, alertou nesta quarta-feira (9) que uma versão inicial de sua plataforma foi explorada.
Aproximadamente US$ 40 milhões (cerca de R$ 220 milhões) em tokens foram desviados do GMX V1, que estreou na rede de escalonamento de segunda camada do Ethereum, Arbitrum, em 2021, para uma carteira desconhecida, disse a GMX no X.
Em resposta, a negociação do GMX V1 foi desativada, juntamente com a cunhagem e o resgate do token GLP – provedor de liquidez para os mercados GMX V1 – do GMX na Arbitrum e na rede de primeira camada Avalanche, ressaltou.
O GMX estava sendo negociado recentemente em torno de US$ 11, uma queda de quase 30% em relação ao último dia, de acordo com a provedora de dados CoinGecko. O token GLP foi projetado para permitir que compradores ganhem taxas em Ethereum ou Avalanche com a atividade dos usuários na corretora, fornecendo liquidez de forma eficaz.
Os investidores podem trocar ativos como Bitcoin e Ethereum por tokens GLP através do site da GMX, e esses fundos são então agrupados. Em teoria, os detentores de GLP podem vender o token de volta para a GMX em troca de ativos no pool de liquidez — mas a maior parte desses fundos desapareceu na quarta-feira.
Isso incluiu cerca de US$ 10 milhões em Bitcoin, US$ 10 milhões em USDC, stablecoin da Circle, US$ 8,5 milhões em Ethereum, cerca de US$ 1 milhão em USDT, stablecoin da Tether, bem como quantidades substanciais de tokens Uniswap e Chainlink, de acordo com um painel no site da GMX .
Com a queda acentuada da quantidade de dinheiro no pool de liquidez do GLP na quarta-feira, a oferta de tokens GLP aumentou. Suhail Kakar, que lidera as relações com desenvolvedores da TAC, escreveu no X que a exploração parece ser um ataque de “reentrada” que abusou da lógica por trás da cunhagem de tokens GLP.
“O invasor poderia enganar o contrato, fazendo-o pensar que não havia sacado nada — e cunhar mais tokens repetidamente, usando os mesmos fundos base”, explicou Kakar. “Não foi um roubo. Foi um ataque preciso e planejado há muito tempo.”
Leia Também
Kakar, juntamente com a empresa de segurança de blockchain e análise de dados PeckShield, observou que a carteira do invasor foi financiada dias antes via Tornado Cash, o misturador de moedas Ethereum que o governo dos EUA sancionou anteriormente por seu suposto uso em lavagem de dinheiro.
GMX alerta usuários
O GMX aconselhou os usuários do X a desabilitarem a negociação alavancada e a cunhagem de GLP. A PeckShield afirmou que a vulnerabilidade provavelmente se aplica a versões bifurcadas do GMX, recomendando cautela também.
Vulnerabilidades de reentrada permitem que um invasor agrupe várias chamadas — ou interações com um contrato inteligente, que contém o código que alimenta aplicativos descentralizados (dApps) — em uma única função, enganando o contrato e fazendo-o calcular um saldo incorreto. Um dos exemplos mais proeminentes foi o hack de US$ 55 milhões da DAO em 2016, no Ethereum.
A exploração de quarta-feira é diferente do prejuízo de US$ 1,4 bilhão da Bybit em fevereiro, quando a estação de trabalho de um desenvolvedor foi comprometida, levando ao maior hack de criptomoedas de todos os tempos.
No canal oficial do GMX no Telegram, alguns usuários questionaram se os investidores do token GLP seriam reembolsados. No canal do X, o GMX afirmou que planeja publicar um relatório detalhado assim que a investigação do projeto for concluída.
Em uma mensagem enviada ao invasor on-chain, a GMX ofereceu uma “recompensa white-hat de 10%”, equivalente a R$ 22 milhões. Instando uma “resolução rápida e ética”, o projeto afirmou que não entraria com nenhuma ação judicial adicional se os “fundos fossem devolvidos em até 48 horas”.
* Traduzido e editado com autorização do Decrypt
- No MB, a sua indicação vale Bitcoin para você e seus amigos. Para cada amigo que abrir uma conta e investir, vocês ganham recompensas exclusivas. Saiba mais!
Comentários