Giaothức tài chính phi tập trung (DeFi) Grim Finance đã báo cáo thua lỗ 30 triệu đô la do khai thác lại tiền gửi của nền tảng.
GrimFinance chính thức công bố vào ngày 18 tháng 12 rằng một “kẻ tấn công bên ngoài” đã khai thác nền tảng DeFi, đánh cắp tiền điện tử trị giá hơn 30 triệu đô la.
TheoGrim Finance, vụ hack là một “cuộc tấn công tiên tiến”, với kẻ tấn công khai thác hợp đồng vault của giao thức thông qua năm vòng lặp reentrancy, cho phép họ giả mạo năm khoản tiền gửi bổ sung vào một hầm trong khi nền tảng đang xử lý khoản tiền gửi đầu tiên.
Grimtạm dừng tất cả các kho tiền sau cuộc tấn công để giảm thiểu rủi ro cho các quỹ trong tương lai: “Chúng tôi đã tạm dừng tất cả các kho tiền để ngăn chặn bất kỳ khoản tiền nào trong tương lai bị rủi ro, vui lòng rút tất cả tiền của bạn ngay lập tức.”
Grimlưu ý rằng họ cũng thông báo cho các thực thể liên quan đến việc vận hành các loại tiền điện tử lớn như Circle ( USDC), DAI và giao thức xuyên chuỗi AnySwap liên quan đến địa chỉ kẻ tấn công để đóng băng chuyển tiền tiếp theo.
GrimFinance tự định vị mình là một “trình tối ưu hóa năng suất kép” được xây dựng trên giao thức blockchain tập trung vào DeFi, Fantom, cho phép người dùng đặt cọc token nhà cung cấp thanh khoản bằng cách sử dụng các chiến lược vault phức tạp.
Theodữ liệu của Fantom (FTM) Blockchain Explorer, Grim Finance Exploiter tiếp tục giao dịch vào ngày 19 tháng 12. Một trong những địa chỉ liên quan đến khai thác nắm giữ 1.2 triệu đô la Bitcoin ( BTC), 1,7 triệu đô la trong SpookyToken (BOO) cùng với 13.700 đô la bằng mã thông báo FTM.
Mộtsố trong cộng đồng tiền điện tử cho rằng Grim Finance nên chịu trách nhiệm về việc khai thác do không áp dụng các công cụ bảo vệ reentrancy thích hợp. Nền tảng bảo mật DeFi Rugdoc.io cũng lập luận rằng giao thức đã mang lại cho người dùng “nhiều đặc quyền hơn mức cần thiết.”
5) Vì vậy, sai lầm lớn của tài chính nghiệt ngã là gì?
1. Không có bảo vệ reentrancy trên một mô hình hoàn toàn cần nó ( @0xPaladinSec luôn chỉ ra điều này)
2. Cung cấp cho người dùng nhiều đặc quyền hơn mức cần thiết: Hoàn toàn không cần người dùng để có thể chọn mã thông báo tiền gửi— Rugdoc.io (@RugDocIO) Ngày 18 tháng 12 năm 2021
Sự phổ biến ngày càng tăng của DeFi đã gây ra một số thách thức mới cho ngành công nghiệp tiền điện tử khi tin tặc đang vội vã khai thác những sai sót của ngành công nghiệp mới nổi. Vào đầu tháng 12, giao thức DeFi BadgerDAO được cho là khai thác với giai điệu 120 triệu đô la.