- GMX a subi un hack de 40 millions de dollars via une faille critique dans son pool GLP V1, affectant des tokens comme USDC, FRAX et WBTC.
- L’équipe a rapidement proposé au hacker une prime de 5 millions de dollars pour la restitution des fonds, une approche inspirée du white-hat hacking.
- Après une chute initiale de 28 %, le token GMX a rebondi de 14 % à l’annonce du retour partiel des fonds.
Un hack à 40 millions, une réaction express
Mercredi dernier, GMX, l’une des plateformes de trading perpétuel décentralisé les plus populaires sur Arbitrum, a été frappée par un exploit d’ampleur. Le protocole a vu plus de 40 millions de dollars s’évaporer, siphonnés depuis son pool de liquidité GLP V1. En cause : une faille critique qui a permis au hacker de dérober une multitude de tokens, dont du USDC, FRAX, WBTC et WETH.
L’équipe de GMX a immédiatement pris des mesures d’urgence : arrêt du trading V1 et gel de la création de GLP sur Arbitrum et Avalanche. Objectif : contenir la brèche et éviter une escalade. Mais face à l’ampleur du vol, la plateforme a aussi joué une carte risquée, mais payante.
L’offre choc de GMX : 5 millions pour un retour
Plutôt que d’engager une chasse judiciaire incertaine, GMX a adressé un message on-chain au hacker, lui proposant une prime de 5 millions de dollars en échange du retour des fonds, sans poursuites si l’argent revenait sous 48h. Une offre dans les codes du « white-hat hacking« , là où les failles sont révélées sans intention malveillante.
Vendredi, le pirate a répondu, laconique :
“ok, funds will be returned later”.
Quelques heures plus tard, les premiers transferts ont été détectés : 5,5 millions de FRAX, puis 5 millions supplémentaires, renvoyés directement au déployeur de GMX. Un geste qui semble valider l’accord, même si l’ensemble des fonds volés n’a pas encore été rendu à l’heure où nous écrivons ces lignes.
Le marché réagit… violemment
À la suite de l’attaque, le token GMX avait chuté de 28 %, atteignant un creux brutal de 10,45 $. Mais l’annonce du retour partiel des fonds a immédiatement redonné de l’élan au marché : +14 % en une journée, avec un retour à 13,6 $.
Ce rebond montre à quel point la confiance communautaire reste un facteur clé dans l’univers DeFi. Le simple signal d’un compromis peut renverser une spirale négative. Mais la vigilance reste de mise.
Et maintenant ?
Ce type d’incident rappelle brutalement que même les plateformes réputées ne sont pas à l’abri. GMX V2 et le token natif n’ont pas été touchés, mais l’image de robustesse du protocole en prend un coup. À moyen terme, il faudra observer si le projet renforce son architecture ou revoit ses pratiques de bug bounty.
Reste une question : le hacker rendra-t-il les 40 millions en intégralité ? Et surtout, la communauté pardonnera-t-elle aussi vite que le marché ?
Mise à jour : Oui ! Le hacker a restitué la totalité des fonds, gardant 5 millions de dollars de prime.
