Протокол DeFi Grim Finance потерял 30 миллионов долларов из-за пятикратного взлома с повторным входом

Протокол децентрализованного финансирования (DeFi) Grim Finance сообщил об убытках в размере 30 миллионов долларов из-за повторного использования депозитов платформы.

18 декабря Grim Finance официально объявила, что «внешний злоумышленник» воспользовался платформой DeFi и украл криптовалюту на сумму «более 30 миллионов долларов».

Согласно Grim Finance, взлом был «продвинутой атакой», когда злоумышленник использовал контракт хранилища протокола через пять циклов повторного входа, что позволило им подделать пять дополнительных депозитов в хранилище, пока платформа обрабатывает первый депозит.

Грим приостановил работу всех хранилищ после атаки, чтобы минимизировать риск для будущих средств: «Мы приостановили все хранилища, чтобы предотвратить риск для любых будущих средств, пожалуйста, немедленно выведите все свои средства».

Грим отметил, что они также уведомили организации, участвующие в работе с основными криптовалютами, такими как Circle (USDC), DAI и межсетевой протокол AnySwap, об адресе злоумышленника, чтобы заблокировать дальнейшие переводы средств.

Grim Finance позиционирует себя как «оптимизатор доходности компаундирования», основанный на протоколе блокчейна Fantom, ориентированном на DeFi, который позволяет пользователям делать ставки на токены поставщиков ликвидности, используя сложные стратегии хранилищ.

Согласно данным Fantom (FTM) Blockchain Explorer, Grim Finance Exploiter продолжил транзакции 19 декабря. Один из адресов, связанных с эксплойтом, содержит 1,2 миллиона долларов в биткоин (BTC), 1,7 миллиона долларов в SpookyToken (BOO) и 13 700 долларов в токенах FTM..

Некоторые в сообществе криптовалюты предположили, что Grim Finance должна нести ответственность за эксплойт из-за отказа принять надлежащие инструменты защиты от повторного входа. Платформа безопасности DeFi Rugdoc.io также утверждала, что протокол дает пользователю «больше привилегий, чем необходимо».

5) Так в чем же была большая ошибка мрачных финансов?1. Отсутствие защиты от повторного входа в шаблоне, который абсолютно в этом нуждается (@ 0xPaladinSec всегда указывает на это) 2. Предоставление пользователю большего количества привилегий, чем необходимо: пользователю совершенно не нужно иметь возможность выбирать токен депозита – Rugdoc.io (@RugDocIO) 18 декабря 2021 г.

По теме: Финансы по-новому: два взлома DeFi достигли $120 млн и $500 млн открыли фонд Algo, 26 ноября – декабрь.3

Растущая популярность DeFi породила ряд новых проблем для индустрии криптовалют, поскольку хакеры спешили использовать недостатки развивающейся индустрии. Сообщается, что в начале декабря протокол DeFi BadgerDAO был использован на сумму 120 миллионов долларов.