Протокол децентрализованного финансирования (DeFi) Grim Finance сообщил об убытках в размере 30 миллионов долларов из-за повторного использования депозитов платформы.

18 декабря Grim Finance официально объявила, что «внешний злоумышленник» воспользовался платформой DeFi и украл криптовалюту на сумму «более 30 миллионов долларов».

Согласно Grim Finance, взлом был «продвинутой атакой», когда злоумышленник использовал контракт хранилища протокола через пять циклов повторного входа, что позволило им подделать пять дополнительных депозитов в хранилище, пока платформа обрабатывает первый депозит.

Грим приостановил работу всех хранилищ после атаки, чтобы минимизировать риск для будущих средств: «Мы приостановили все хранилища, чтобы не подвергать риску любые будущие средства, пожалуйста, немедленно выведите все свои средства».

Грим отметил, что они также уведомили организации, участвующие в работе с основными криптовалютами, такими как Circle (USDC), DAI и межсетевой протокол AnySwap, об адресе злоумышленника, чтобы заблокировать дальнейшие переводы средств.

Grim Finance позиционирует себя как «оптимизатор доходности компаундирования», построенный на протоколе блокчейн FANTOM, ориентированном на DeFi, который позволяет пользователям делать ставки на токены поставщиков ликвидности, используя сложные стратегии хранилищ.

Согласно данным Fantom (FTM) Blockchain Explorer, Grim Finance Exploiter продолжил транзакции 19 декабря. Один из адресов, связанных с эксплойтом, содержит 1,2 миллиона долларов в биткойнах (BTC), 1,7 миллиона долларов в SpookyToken (BOO) и 13 700 долларов в токенах FTM. .

Некоторые в криптосообществе предположили, что Grim Finance должна нести ответственность за эксплойт из-за отказа принять надлежащие инструменты защиты от повторного входа. Платформа безопасности DeFi Rugdoc.io также утверждала, что протокол дает пользователю «больше привилегий, чем необходимо».

5) Так в чем же была большая ошибка мрачных финансов?
1. Нет защиты от повторного входа в шаблоне, который абсолютно в нем нуждается (@ 0xPaladinSec всегда указывает на это)
2. Предоставление пользователю большего количества привилегий, чем необходимо: пользователю совершенно не нужно иметь возможность выбирать токен депозита.

- Rugdoc.io (@RugDocIO) 18 декабря 2021 г.

Растущая популярность DeFi породила ряд новых проблем для индустрии криптовалют, поскольку хакеры спешили использовать недостатки развивающейся индустрии. Сообщается, что в начале декабря протокол DeFi BadgerDAO был использован на сумму 120 миллионов долларов.

Источник