Exploit GLP en GMX

En julio de 2025, el protocolo de perpetuos GMX v1 en Arbitrum fue explotado por aproximadamente 42 millones de dólares mediante un fallo en la lógica de precios de su token de liquidez GLP. El atacante devolvió la mayor parte de los fondos en pocos días a cambio de una recompensa pública de sombrero blanco.

Qué ocurrió

GMX v1 usaba GLP, un token cesta multi-activo, como contraparte para sus posiciones perpetuas. El precio de GLP se calculaba a partir del valor agregado de la cesta subyacente, con ajustes por el PnL abierto de los traders.

El atacante explotó una brecha en cómo este cálculo interactuaba con los cambios de estado disparados durante la misma transacción. Al abrir, modificar o cerrar posiciones en una secuencia específica dentro de una sola llamada, el atacante podía empujar la contabilidad del protocolo a un estado donde la redención de GLP devolvía más valor del que su respaldo real soportaba.

Aproximadamente 42 M$ en activos se extrajeron en varias transacciones antes de que el protocolo pausara.

Consecuencias

• La gobernanza de GMX ofreció una recompensa de sombrero blanco del 10% por la devolución de los fondos.
• El atacante aceptó; aproximadamente el 90% de los fondos drenados se devolvieron en una semana, clasificando el evento como una operación de sombrero blanco (muy cara) por la mayoría de las medidas.
• GMX v2, ya en vivo, no se vio afectada. GMX v1 se desmanteló y las migraciones a v2 se aceleraron.

Por qué importa

GMX es uno de un pequeño grupo de exploits de 2025 que terminaron con el atacante comportándose como un sombrero blanco (pagado). El patrón es cada vez más común en la escala de 5 M$–200 M$: los protocolos con visibilidad on-chain y comunidades bien dotadas pueden a veces hacer que devolver los fondos sea la vía de menor resistencia. Por encima de esa escala —Bybit, Cetus, DMM— los fondos suelen ir al lavado.