Een verrassende wending in de wereld van crypto-exploits: de hacker die onlangs voor $40 miljoen aan crypto stal van het handelsplatform GMX, is begonnen met het teruggeven van het gestolen geld. Niet uit schuldgevoel, maar omdat het platform hem een witte-hack-beloning van $5 miljoen aanbood.

Wat is er precies gebeurd?

De aanval vond plaats op GMX v1, een gedecentraliseerde exchange (DEX) die draait op Arbitrum. De hacker maakte gebruik van een ontwerpfout in de GLP-token, een token die is gekoppeld aan de liquiditeitspool van het platform. Door de waarde van deze token te manipuleren, kon hij verschillende crypto’s van het platform wegsluizen.

Beloning lokt hacker uit zijn schulp

GMX bood al snel een witte-hack-beloning aan van $5 miljoen. Zo’n beloning is bedoeld voor ethische hackers die zwakke plekken in systemen ontdekken, maar dan wél zonder kwaadwillende bedoelingen. De voorwaarde: 90% van het buitgemaakte geld moest terug naar GMX.

Aanvankelijk leek het erop dat de aanvaller zich er niets van aantrok. Maar in een onchain bericht liet de hacker plots weten: “Ok, funds will be returned later.” Binnen het uur kwam de eerste terugbetaling binnen.

Hoeveel is er al terugbetaald?

Tot nu toe is er voor ongeveer $20 miljoen teruggestort naar de adressen die GMX had opgegeven. Dat ging onder andere om:

• $9 miljoen aan Ether (ETH)
• $10,5 miljoen aan FRAX stablecoins, verdeeld over twee stortingen

De hacker lijkt serieus werk te maken van zijn ‘deal’ met het platform.

Juridische druk en slimme onderhandeling

Naast de beloning zette GMX ook druk op de aanvaller: als het geld niet binnen 48 uur werd teruggegeven, zou het juridische stappen zetten. Dat ultimatum, samen met het aanbod van een flinke beloning én hulp bij het ‘legitiem’ maken van de ontvangen $5 miljoen, lijkt de doorslag te hebben gegeven.

Het GMX-team prees de technische vaardigheden van de hacker zelfs:

“Je hebt de aanval succesvol uitgevoerd; je kunde is voor iedereen zichtbaar in de transacties.”

Wat kun je hiervan leren als crypto-investeerder?

Deze zaak laat zien dat zelfs geavanceerde platforms kwetsbaar kunnen zijn voor slimme aanvallen. Tegelijk biedt het ook een inkijkje in hoe de sector soms zelf oplossingen zoekt, zonder direct naar de rechter te stappen. Een combinatie van beloning, reputatiemanagement en juridische dreiging blijkt verrassend effectief.

Veelgestelde vragen

Wat is GMX?
GMX is een gedecentraliseerd handelsplatform (DEX) waar gebruikers perpetuals kunnen verhandelen—dit zijn termijncontracten zonder einddatum. GMX draait onder andere op Arbitrum, een schaalbaarheidslaag bovenop Ethereum.

Wat is een white hat bounty?
Een white hat bounty is een beloning voor ethische hackers die een kwetsbaarheid melden in plaats van misbruik maken van de fout. In dit geval werd de hacker achteraf alsnog ‘witgewassen’ in ruil voor teruggave van de fondsen.

Hoe veilig is crypto op DEX’en zoals GMX?
Hoewel DEX’en steeds geavanceerder worden, zijn ze niet immuun voor bugs of ontwerpfouten. Het is belangrijk om als gebruiker altijd alert te zijn en te investeren in platforms met een goede reputatie en actief bug bounty-beleid.