Una aparente falla de seguridad en el protocolo de Grim Finance podría haberle falsificado al atacante cinco depósitos adicionales.
El Protocolo de Financiamiento Descentralizado (DeFi) Grim Finance reportó $ 30 millones en pérdidas debido a una explotación de reentrada de los depósitos de la plataforma.
Grim Finance oficialmente Anunciado el 18 de diciembre que un «atacante externo» había explotado la plataforma DeFi, robando «más de $ 30 millones» en criptomonedas.
Según Grim Finance, el hack fue un «ataque avanzado» en el que el atacante explotó el contrato de la bóveda del protocolo a través de cinco bucles de reentrada, lo que les permitió falsificar cinco depósitos adicionales en una bóveda mientras la plataforma procesaba el primer depósito.
Grim detiene todas las bóvedas después del ataque para minimizar el riesgo de los fondos futuros: «Hemos detenido todas las bóvedas para evitar que los fondos futuros se pongan en peligro, retire todos sus fondos de inmediato».
Grim señaló que también informaron a las entidades involucradas en la operación de las principales criptomonedas como Circle (USDC), DAI y el protocolo de cadena cruzada AnySwap sobre la dirección del atacante para congelar más transferencias de fondos.
Grim Finance se posiciona como un «optimizador de rendimiento compuesto» basado en el protocolo de cadena de bloques orientado a DeFi, Phantom, que permite a los usuarios implementar tokens de proveedores de liquidez mediante el uso de estrategias de bóveda complejas.
Según los datos de Phantom (FTM) Blockchain Explorer, Grim Finance Exploiter perseguido transacción el 19 de diciembre. Una de las direcciones asociadas con la operación tiene $ 1.2 millones en Bitcoin (BTC), $ 1.7 millones en SpookyToken (BOO) además de $ 13,700 en tokens FTM.
Algunos en la comunidad criptográfica sugirieron que Grim Finance debería ser responsable de su explotación por no adoptar las herramientas adecuadas de protección de reentrada. La plataforma de seguridad Rugioc Rugdoc.io también declaró que el protocolo «le dio al usuario más privilegios de los necesarios».
5) Entonces, ¿cuál fue el gran error de las finanzas enojadas?
1. Sin protección de reentrada en un cartucho que sea absolutamente necesario (@ 0xPaladinSec siempre señala esto)
Otorgue al usuario más privilegios de los necesarios: el usuario no es absolutamente necesario para elegir el token de depósito– Rugdoc.io (@RugDocIO) 18 de diciembre de 2021
Relacionado: Finanzas redefinidas: dos hacks de DeFi por encima de $ 120 millones y el lanzamiento del fondo Algo de $ 500 millones, del 26 de noviembre al diciembre. 3
La creciente popularidad de DeFi ha desencadenado una serie de nuevos desafíos para la industria de las criptomonedas, ya que los piratas informáticos se apresuraron a explotar las fallas de la industria emergente. A principios de diciembre, se informó que el protocolo DeFi de BadgerDAO fue explotado por una suma de $ 120 millones.
