Grim Finance был взломан и потерял 30 миллионов долларов

Grim Finance (c англ. Мрачный, зловещий) оправдывает свое название после того, как в ходе «изощренной атаки» у нее были украдены токены на сумму 30 миллионов долларов. Платформа, основанная на блокчейне Fantom, объявила, что злоумышленник использовал вредоносный контракт с токеном, и объявила, что, поскольку уязвимость была обнаружена в контракте на хранилище, его «все хранилища и депонированные средства в настоящее время находятся под угрозой».

Grim — это оптимизатор комплексной доходности, что означает, что он получает дополнительную ценность от токенов поставщика ликвидности (LP), которые инвесторы DeFi получают от DEX, когда они блокируют их с помощью Grim. И, как сообщил один из пострадавших пользователей , это очень привлекательный вариант, поскольку его годовая процентная доходность была намного выше, чем у конкурентов. Grim основан на Opera, предположительно безопасной и быстрой среде для создания децентрализованных приложений на блокчейне Fantom.

19 декабря Grim объявил в Твиттере, что на них напали.

Hello Grim Community,

It is with heavy hearts that we inform you that our platform was exploited today by an external attacker roughly 6 hours ago. The attackers address has been identified with over 30 million dollars worth of theft here https://t.co/qA3iBTSepb
— Grim Finance (@FinanceGrim) December 19, 2021

Злоумышленник заключил договор злонамеренного токена, который запустил пять циклов повторного входа. В такой атаке злоумышленник подделывает новые депозиты в хранилище, пока платформа все еще обрабатывает первый депозит. В данном случае злоумышленник проделал это пять раз.

За час до использования лазейки злоумышленник профинансировал свои кошельки умных цепочек Ethereum и Binance с помощью Tornado Cash, миксера монет Ethereum, который прерывает внутрицепочечное соединение между отправителем и получателем. Это делает практически невозможным проследить источник средств.

После атаки Grim закрыл все хранилища, чтобы предотвратить дальнейшее исчезновение средств. Grim призвал всех клиентов немедленно вывести свои средства:

«Слабое место было обнаружено в контракте на хранилище, поэтому все хранилища и депонированные средства в настоящее время находятся под угрозой. Мы связались с Circle (USDC), DAI и AnySwap и сообщили им адрес злоумышленника, чтобы заблокировать дальнейшие возможные денежные переводы ».

«Самостоятельно нанесенный Grim Finance «

Эксперты по кибербезопасности размышляют о недавнем эксплойте DeFi и о том, как его можно было избежать. Согласно RugDoc, организации по обеспечению безопасности DeFi, в нарушении безопасности в первую очередь виновата Grim Finance. Компании не удалось установить защиту от повторного входа, чем воспользовались хакеры. RugDoc сказал:

Надеюсь, из этого инцидента все проекты смогут извлечь уроки из того, что знают самые опытные разработчики Solidity. Если вы еще не приобрели эти знания, не создавайте многомиллионные проекты. Не получайте аудит от компаний, которые, как все знают, бесполезны ».

Кроме того, RugDoc считает, что платформы DeFi должны оставлять пользователям право выбора токена для депозита.

7) One last thing: Why let the user choose the token to deposit???? This almost seems like a job interview at an auditing company.😩
— Rugdoc.io (@RugDocIO) December 18, 2021

Только за первые три недели декабря хакеры украли с криптоплатформ более 600 миллионов долларов, сообщает TRM Labs. Среди жертв — торговая площадка Vulcan Forged NFT за 135 миллионов долларов, сингапурская биржа AscendEx за 77,7 миллиона долларов и биржа BitMart на Каймановых островах, потерявшая 200 миллионов долларов .

Подробнее по теме: Торговая площадка Vulcan Forged NFT взломана, и 135 миллионов долларов пропали