Die dezentrale Börse GMX hat heute einen schweren Exploit auf ihrer ursprünglichen Plattform GMX V1 erlebt. Angreifer nutzten eine Schwachstelle im sogenannten GLP-Pool auf dem Layer-2-Netzwerk Arbitrum aus und konnten dabei laut aktuellen Informationen über 44 Millionen US-Dollar in Kryptowährungen auf eine unbekannte Wallet transferieren. Um weitere Schäden zu verhindern, wurde der Handel auf GMX V1 sowie das Minten und Einlösen von GLP sowohl auf Arbitrum als auch auf Avalanche umgehend deaktiviert.
Der Vorfall wurde von GMX selbst über den Kurznachrichtendienst X bekannt gemacht. Die Entwickler riefen sämtliche Forks von GMX V1 dazu auf, umgehend Schutzmaßnahmen zu ergreifen. Unter anderem sollte der Handel mit Leverage deaktiviert und das Minten von GLP-Token unterbunden werden. Die Schwachstelle betrifft laut aktuellem Kenntnisstand ausschließlich die erste Version der Plattform und nicht das weiterentwickelte GMX V2 oder den GMX-Token selbst. Alle Nutzer wurden dringend gewarnt, bis auf Weiteres nicht mit GMX V1 zu interagieren.
Wie konnte der GMX-Exploit passieren?
GMX ist eine dezentrale Börse für den Handel mit Kryptowährungen und Derivaten, die 2021 gestartet wurde. Anders als klassische zentrale Börsen wie Binance oder OKX setzt GMX auf Smart Contracts und dezentrale Liquiditätspools, um Handel, Hebelprodukte und das Bereitstellen von Liquidität zu ermöglichen. Die Plattform ist vor allem bei aktiven Tradern beliebt, die direkt auf der Blockchain handeln und eigene Wallets verwenden möchten.
Das Flaggschiff-Produkt von GMX ist der GLP-Pool, der den Nutzern den Handel mit Hebel direkt über die Blockchain ermöglicht. Mit der Zeit wurde die Plattform um weitere Funktionen erweitert, unter anderem durch das Update auf GMX V2, das zusätzliche Sicherheits- und Performance-Features einführte.
Kern des Problems war eine sogenannte Re-Entrancy-Sicherheitslücke in der Logik für das Minten von GLP-Token. Diese Art von Schwachstelle entsteht, wenn ein Smart Contract eine externe Funktion aufruft, bevor er seinen eigenen Zustand korrekt aktualisiert. Ein Angreifer kann während dieses „Gaps“ erneut in den Vertrag „hineinspringen“ und Aktionen wiederholen, die eigentlich nur einmal erlaubt sein sollten.
Im Fall von GMX V1 konnte der Angreifer das System so austricksen, dass es glaubte, es sei noch kein Geld abgezogen worden – und dadurch mehrfach neue GLP-Token mit denselben Grundmitteln emittieren.
Im Klartext: Der Smart Contract prüfte zu spät, ob die Mittel tatsächlich schon entnommen wurden, und der Angreifer konnte so „kostenlos“ GLP erzeugen.
Die Wallet des Angreifers wurde zwei Tage vor dem Angriff über Tornado Cash mit Mitteln ausgestattet. Nach dem Exploit begannen die Hacker sofort damit, ihre Spuren zu verschleiern, indem sie die gestohlenen Gelder in verschiedene Kryptowährungen tauschten, aufteilten und über mehrere Chains bewegten. Blockchain-Analysten wie PeckShield und Arkham trackten rund 44 Millionen US-Dollar in ETH, DAI, FRAX, wBTC und wETH in der Wallet des Angreifers nach dem Vorfall.
Der Angriff war kein Zufallsprodukt, sondern offenbar lange vorbereitet und präzise ausgeführt.
Dezentrale Börsen tragen höhere Risiken
Der aktuelle Vorfall unterstreicht einmal mehr die Risiken, die mit dezentralen Börsen einhergehen. Trotz zahlreicher Smart-Contract-Audits und Sicherheitsprüfungen können sich in komplexen DeFi-Protokollen Schwachstellen verbergen, die selbst erfahrenen Entwicklern entgehen. Im schlimmsten Fall führen solche Fehler zu Millionenverlusten, wie es nun bei GMX V1 geschehen ist.
Im Vergleich dazu gelten zentralisierte Börsen wie OKX, Coinbase oder Kraken als deutlich sicherer, da sie mit umfangreichen Sicherheitsmaßnahmen, Haftungsregelungen und Kundenservice ausgestattet sind. Sie bieten oft auch Versicherungsschutz für Nutzervermögen und unterliegen staatlicher Regulierung. Zwar bieten DEXs Vorteile wie Selbstverwahrung und Dezentralität, doch müssen Nutzer das Risiko von Smart-Contract-Bugs und fehlender Absicherung selbst tragen.
