DeFi протокол Grim Finance потерял $30M в результате взлома 5x рентабельности
Децентрализованный финансовый протокол (DeFi) Grim Finance сообщил о потерях в размере 30 миллионов долларов в результате эксплойта реентерабельности депозитов платформы.
Компания Grim Finance официально объявила 18 декабря, что «внешний злоумышленник» использовал платформу DeFi, похитив криптовалюты на сумму «более 30 миллионов долларов».
Согласно Grim Finance, взлом был «продвинутой атакой»: злоумышленник использовал контракт хранилища протокола через пять циклов реентерабельности, что позволило ему подделать пять дополнительных депозитов в хранилище, пока платформа обрабатывала первый депозит.
Grim приостановил работу всех хранилищ после атаки, чтобы минимизировать риск для будущих средств: «Мы приостановили работу всех хранилищ, чтобы предотвратить риск для будущих средств, пожалуйста, немедленно выведите все ваши средства».
Grim отметила, что они также уведомили организации, участвующие в управлении основными криптовалютами, такими как Circle (USDC), DAI и межцепочечный протокол AnySwap, об адресе злоумышленника, чтобы заморозить дальнейшие переводы средств.
Grim Finance позиционирует себя как «оптимизатор доходности», построенный на блокчейн-протоколе Fantom, ориентированном на DeFi-технологии, позволяя пользователям делать ставки на токены поставщиков ликвидности, используя сложные стратегии хранилищ.
Согласно данным Fantom (FTM) Blockchain Explorer, Grim Finance Exploiter продолжил транзакции 19 декабря. На одном из адресов, связанных с эксплойтом, хранится $1,2 млн в биткоинах (BTC), $1,7 млн в SpookyToken (BOO) и $13 700 в токенах FTM.
Некоторые представители криптосообщества предположили, что Grim Finance должна нести ответственность за эксплойт из-за того, что она не использовала надлежащие средства защиты от реентерабельности. Платформа безопасности DeFi Rugdoc.io также утверждала, что протокол давал пользователю «больше привилегий, чем нужно».
5) Так в чем же заключалась большая ошибка компании grim finance?
1. Отсутствие защиты от реентерабельности на шаблоне, который абсолютно в ней нуждается (@0xPaladinSec всегда указывает на это)
2. Предоставление пользователю больше привилегий, чем нужно: Нет абсолютно никакой необходимости в том, чтобы пользователь мог выбирать токен депозита.
— Rugdoc.io (@RugDocIO) 18 декабря 2021 г.
Финансы переосмыслены: Два взлома DeFi достигли $120M, и $500M Algo Fund запускается, 26 ноября — 3 декабря
Рост популярности DeFi вызвал ряд новых проблем для криптовалютной индустрии, поскольку хакеры поспешили воспользоваться недостатками развивающейся отрасли. Как сообщается, в начале декабря протокол DeFi BadgerDAO был взломан на сумму 120 миллионов долларов.