L'exchange décentralisé (DEX) GMX aurait été victime d'un hack par manipulation de prix orchestré par un pirate qui aurait réussi à s'emparer de près de 565 000 dollars sur la markeplace AVAX/USD.
Le pirate, qui n'a pas encore été identifié, aurait exploité les fonctionnalités « spread minimal » et « impact nul sur les prix » proposées par GMX pour réaliser ce hack qui a affecté les détenteurs de tokens GLP qui fournissaient des liquidités sous forme d'AVAX (token Avalanche) à GMX.
GMX a confirmé avoir été victime de ce hack par manipulation des prix dans une publication le 18 septembre sur Twitter. L'exchange a cependant précisé que le marché AVAX/USD resterait ouvert en dépit de l'imposition d'un plafond de 2 millions de dollars sur les positions longues et d'un plafond d'un million de dollars sur les positions courtes.
We were notified of price manipulation of AVAX/USD on reference exchanges by monitoring systems and community members.
— GMX (@GMX_IO) September 18, 2022
While we review the occurrence, open-interest for AVAX has been capped at $2m long / $1m short.
GLP and GMX trading markets continue to operate normally.
Nous avons été informés de la manipulation des prix de l'AVAX/USD sur des exchanges de référence par des systèmes de surveillance et des membres de la communauté.
Pendant que nous analysons cette situation, l'intérêt ouvert pour AVAX a été plafonné à 2 millions de dollars en positions longues et 1 million de dollars en positions courtes.
Les marchés de trading du GLP et du GMX continuent de fonctionner normalement.
- GMX (@GMX_IO) 18 septembre 2022
Joshua Lim, responsable des produits dérivés chez Genesis Trading, a été l'une des premières personnes à analyser le hack, déclarant que le pirate « a réussi à faire des bénéfices sur le marché AVAX/USD de GMX en ouvrant de grandes positions à 0 slippage. » avant de transférer les AVAX/USD vers des exchanges centralisés à un prix légèrement supérieur.
Lim a déclaré que cette méthode de hack a été utilisée à cinq reprises et que la première fois, c'était à 01:15 UTC le 18 septembre. Chacune des cinq fois, plus de 200 000 tokens AVAX ont été transférés (soit environ 4 à 5 millions de dollars à chaque fois). En tout, le pirate a réalisé un bénéfice estimé à près de 565 000 dollars, après qu'il ait payé les opérateurs de marché sur d'autres exchanges.
3/ let's take a look at the first cycle which took place from 01:15:31 to 01:28:11 UTC. X was able to extract roughly $158k in profit by trading clips of $4-5mm at a time pic.twitter.com/W6eu7Iz6lz
— Joshua Lim (@joshua_j_lim) September 18, 2022
3/ Regardons le premier cycle qui a eu lieu de 01:15:31 à 01:28:11 UTC. X a été en mesure de dégager environ 158 000 dollars de bénéfices en tradant des clips de 4-5 mm à la fois pic.twitter.com/W6eu7Iz6lz
- Joshua Lim (@joshua_j_lim) 18 septembre 2022
Lim a toutefois précisé qu'il ne s'agissait pas d'un « hack », mais que « GMX fonctionnait comme prévu. »
L'analyste technique « Duo Nine » a ajouté que le pirate a pu profiter de plusieurs transactions importantes au détriment des détenteurs de BPL, car les prix fixes fournis par les oracles gérés par Chainlink n'ont aucun impact sur les prix, ce qui a facilité le piratage par manipulation des prix.
« Lorsque les traders font des bénéfices, les fournisseurs de liquidités perdent. Si les traders exploitent cette vulnérabilité, les détenteurs de BPL peuvent perdre tout leur argent ! »
Alors que GMX a immédiatement plafonné l'intérêt ouvert court et long pour AVAX/USD afin de protéger le DEX de nouvelles manipulations, Lim a déclaré que GMX pourrait devoir supprimer sa fonction « impact zéro sur le prix » malgré le fait qu'elle ait réussi à attirer de nombreux utilisateurs à ce jour.
« Le vrai problème est que GMX ne reflète pas le véritable coût de la liquidité comme le font les autres plateformes de trading, il offre une liquidité illimitée à un prix oracle de milieu de marché. »
Le récent hack survient quelques semaines seulement après que le fondateur de Layer-2 DEX ZigZag « Taureau » ait déclaré dans un appel vidéo le 2 septembre qu'il doutait que le modèle d'exchange de GMX soit viable à long terme, en précisant qu'avec une bonne stratégie, n'importe quel trader pourrait réduire les détenteurs de tokens GLP à néant :
Has $GMX built a viable system for the long-run?
— Flywheelpod (@flywheelpod) September 2, 2022
ZigZag Founder @taureau_21 has his doubts... and predicts eventually that a trader with the right strategy and proper size will wipe out $GLP
Full Episode https://t.co/3k3oLdHFWq pic.twitter.com/MF2Qafxs57
Est-ce que $GMX a construit un système viable sur le long terme ?
Le fondateur de ZigZag, @taureau_21, a des doutes... et prédit qu'un trader doté ayant la bonne stratégie et la taille qu'il faut finira par réduire $GLP à néant.
Épisode complet https://t.co/3k3oLdHFWq pic.twitter.com/MF2Qafxs57
- Flywheelpod (@flywheelpod) 2 septembre 2022
Réaction de la communauté
La nouvelle a suscité des réactions mitigées de la part de la communauté GMX. Un utilisateur de Twitter a souligné le fait qu'aucun smart contract n'a été hacké, tandis qu'un autre utilisateur de Twitter a demandé à GMX si une compensation serait versée aux détenteurs de BPL qui ont été touchés.
À lire également : Que sont les exchanges décentralisés et comment les DEX fonctionnent-ils ?
Sur GMX, les fournisseurs de liquidités proposent des BTC, des ETH, des AVAX et des stablecoins en échange du tokens GLP. Le protocole a été lancé fin 2021 sur le réseau de mise à l'échelle de la couche 2 d'Ethereum, Arbitrum.
Le token GMX (GMX) est actuellement évalué à 39,07 $, ce qui représente une baisse de 16,7 % au cours des dernières 24 heures, selon CoinGecko.