Kurang dari dua hari setelah meretas platform perdagangan terdesentralisasi GMX dan mencuri aset kripto senilai sekitar USD 42 juta (sekitar Rp 681 miliar), pelaku akhirnya mengembalikan sebagian besar dana yang dicuri.
Menurut laporan analis on-chain PeckShield, peretas mengembalikan sekitar USD 40,5 juta atau Rp 656 miliar dalam bentuk Ether (ETH) dan Legacy Frax Dollar (FRAX).
Peretasan yang terjadi pada 9 Juli 2025 ini memanfaatkan celah re-entrancy dalam smart contract GMX V1, yang memungkinkan pelaku memanipulasi saldo dan menaikkan harga token GLP secara artifisial. Melalui celah ini, hacker berhasil mencuri berbagai aset seperti Wrapped Bitcoin (WBTC), FRAX, dan DAI, lalu mengonversinya menjadi sekitar 11.700 ETH di jaringan Ethereum.
Menanggapi kejadian tersebut, tim GMX menawarkan hadiah 10% dari total dana jika hacker bersedia mengembalikan seluruh aset dalam waktu 48 jam. Menariknya, hacker merespons dengan singkat, “Oke, dana akan dikembalikan nanti”, dan langsung mengirimkan kembali:
- FRAX senilai USD 10,49 juta (Rp 170,1 miliar)
- ETH senilai USD 32 juta, yang nilainya naik menjadi USD 35 juta (Rp 567,6 miliar) saat dikembalikan
Dengan selisih kenaikan harga ETH dan bonus 10%, peretas tetap membawa pulang keuntungan sekitar USD 4,5 juta (Rp 72,9 miliar), namun GMX tetap menerima pengembalian penuh senilai USD 40,5 juta.
GMX menegaskan bahwa versi terbaru GMX V2 tidak terdampak oleh serangan ini karena sudah tidak memiliki kerentanan serupa. GMX juga telah mencabut batas pencetakan token penyedia likuiditas di jaringan Arbitrum dan Avalanche.
Harga token GMX pun mulai pulih pasca-insiden, naik lebih dari 13%, menurut data CoinMarketCap.