پروتکل مالی غیرمتمرکز DeFi Grim Finance ضرر ۳۰ میلیون دلاری به دلیل بهرهبرداری مجدد از سپردههای کریپتو پلتفرم را گزارش کرد.
یک نقص امنیتی آشکار در پروتکل Grim Finance به یک هکر این امکان را داد که پنج سپرده اضافی را جعل کند.
Grim Finance رسماً در 18 دسامبر اعلام کرد که یک هکر خارجی از پلتفرم DeFi سوءاستفاده کرده است. این هکر بیش از 30 میلیون دلار ارزهای دیجیتال را سرقت کرده است.
به گفته گریم فاینانس این هک یک «حمله پیشرفته» بود. مهاجم از قرارداد صندوق پروتکل از طریق پنج حلقه ورود مجدد سوءاستفاده میکرد. درنتیجه به آنها اجازه میداد در حالی که پلتفرم در حال پردازش اولین سپرده است، پنج سپرده اضافی را در یک خزانه جعل کنند.
گریم تمام خزانهها را پس از حمله متوقف کرد تا ریسک وجوه آتی را به حداقل برساند، او گفت:
ما تمام خزانهها را متوقف کردهایم تا از خطر قرار گرفتن وجوه آینده جلوگیری کنیم. لطفاً فوراً تمام وجوه خود را برداشت کنید.
گریم خاطرنشان کرد که آنها همچنین به نهادهای درگیر کریپتو اصلی مانند Circle (USDC)، DAI و پروتکل زنجیرهای متقابل AnySwap در مورد آدرس مهاجم اطلاع دادند تا نقل و انتقالات بیشتر وجوه را مسدود کنند.
Grim Finance خود را به عنوان یک «بهینهساز بازده ترکیبی» که بر اساس پروتکل بلاکچین متمرکز بر DeFi ساخته شده است، قرار میدهد. این پلتفرم به کاربران این امکان را میدهد تا با استفاده از استراتژیهای پیچیده انبار، توکنهای ارائهدهنده نقدینگی را به اشتراک بگذارند.
بر اساس دادههای Fantom (FTM) Blockchain Explorer، Grim Finance Exploiter در 19 دسامبر به تراکنشهای خود ادامه داد. یکی از آدرسهای مرتبط با این اکسپلویت دارای 1.2 میلیون دلار بیتکوین (BTC)، 1.7 میلیون دلار در SpookyToken (BOO) و 13700 دلار در توکنهای FTM است.
برخی از جامعه کریپتو پیشنهاد کردند که Grim Finance باید مسئولیت سوءاستفاده را به دلیل عدم استفاده از ابزارهای حفاظت از ورود مجدد مناسب به عهده بگیرد. پلتفرم امنیتی DeFi Rugdoc.io همچنین استدلال کرد که این پروتکل به کاربر «امتیاز بیشتری از آنچه لازم است» میدهد.
5) So what was the big mistake of grim finance?
1. No reentrancy guard on a pattern that absolutely needs it (@0xPaladinSec always points this out)
2. Giving the user more privilege than is necessary: There is absolutely no need for the user to be able to choose the deposit token— Rugdoc.io (@RugDocIO) December 18, 2021
محبوبیت روزافزون DeFi چالشهای جدیدی را برای صنعت کریپتو ایجاد کرده است. هکرها برای سوءاستفاده از معایب این صنعت در حال ظهور عجله داشتند. در اوایل دسامبر، پروتکل DeFi BadgerDAO به میزان ۱۲۰ میلیون دلار مورد سوء استفاده قرار گرفت.
منبع: Cointelegraph
پاسخها