Một lỗ hổng bảo mật rõ ràng trong giao thức Grim Finance cho phép kẻ tấn công giả mạo năm khoản tiền gửi bổ sung.
Tin tức
Giao thức tài chính phi tập trung (DeFi) Grim Finance đã báo cáo khoản lỗ 30 triệu đô la do khai thác lại các khoản tiền gửi của nền tảng.
Grim Finance chính thức Công bố vào ngày 18 tháng 12, một “kẻ tấn công bên ngoài” đã khai thác nền tảng DeFi, đánh cắp tiền điện tử trị giá “hơn 30 triệu đô la”.
Theo Grim Finance, vụ tấn công là một “cuộc tấn công tiên tiến”, với kẻ tấn công khai thác hợp đồng kho tiền của giao thức thông qua năm vòng lặp tái nhập cảnh, cho phép họ giả mạo năm khoản tiền gửi bổ sung vào một kho tiền trong khi nền tảng đang xử lý khoản tiền gửi đầu tiên.
Grim tạm dừng tất cả các kho tiền sau vụ tấn công để giảm thiểu rủi ro cho các quỹ trong tương lai: “Chúng tôi đã tạm dừng tất cả các kho tiền để ngăn chặn bất kỳ khoản tiền nào trong tương lai gặp rủi ro, vui lòng rút tất cả tiền của bạn ngay lập tức.”
Grim lưu ý rằng họ cũng thông báo cho các thực thể liên quan đến việc vận hành các loại tiền điện tử lớn như Circle (USDC), DAI và giao thức chuỗi chéo AnySwap liên quan đến địa chỉ kẻ tấn công để đóng băng việc chuyển tiền thêm.
Grim Finance tự định vị mình là một “trình tối ưu hóa lợi suất kết hợp” được xây dựng trên giao thức blockchain tập trung vào DeFi, Fantom, cho phép người dùng đặt cược các token của nhà cung cấp thanh khoản bằng cách sử dụng các chiến lược kho tiền phức tạp.
Theo dữ liệu Blockchain Explorer của Fantom (FTM), Grim Finance Exploiter tiếp tục giao dịch vào ngày 19 tháng 12. Một trong những địa chỉ liên quan đến việc khai thác nắm giữ 1,2 triệu đô la Bitcoin (BTC), 1,7 triệu đô la spookyToken (BOO) cùng với 13.700 đô la trong mã thông báo FTM.
Một số người trong cộng đồng tiền điện tử cho rằng Grim Finance nên chịu trách nhiệm về việc khai thác do không áp dụng các công cụ bảo vệ tái xuất thích hợp. Nền tảng bảo mật DeFi cũng Rugdoc.io lập luận rằng giao thức này mang lại cho người dùng “nhiều đặc quyền hơn mức cần thiết”.
Vậy sai lầm lớn của tài chính nghiệt ngã là gì?
1. Không có người bảo vệ tái xuất theo một mô hình hoàn toàn cần nó (@0xPaladinSec Luôn chỉ ra điều này)
2. Mang đến cho người dùng nhiều đặc quyền hơn mức cần thiết: Hoàn toàn không cần người dùng có thể chọn token nạp tiền— Rugdoc.io (@RugDocIO) 18 Tháng mười hai, 2021
Liên quan: Tài chính được định nghĩa lại: Hai vụ hack DeFi hàng đầu 120 triệu đô la và 500 triệu đô la Algo Fund ra mắt, từ ngày 26 tháng 11 đến ngày 3 tháng 12
Sự phổ biến ngày càng tăng của DeFi đã gây ra một số thách thức mới cho ngành công nghiệp tiền điện tử khi tin tặc đang vội vã khai thác các lỗ hổng của ngành công nghiệp mới nổi. Vào đầu tháng 12, giao thức DeFi BadgerDAO được cho là đã bị khai thác với mức giá 120 triệu đô la.
