Wirtschaftsprüfer der dezentralen Finanzplattform (DeFi). Grimmige Finanzendas am Sonntag für digitale Vermögenswerte im Wert von 30 Mio. USD ausgenutzt wurde, behaupten, dass ein neuer Analyst die Prüfung des Protokolls durchgeführt habe, während ihr Chief Technology Officer (CTO) im Urlaub war.
Am 19. Dezember informierte Grim Finance die Benutzer darüber, dass das Projekt von einem externen Hacker ausgenutzt wurde. „Der Angreifer hat mit der Funktion „beforeDeposit()“ aus unserer Tresorstrategie angegriffen, indem er einen böswilligen Token-Vertrag eingegeben hat“, erläuterte das Team.
Vor ungefähr vier Monaten wurde Grim Finance von geprüft Solide Finanzen, ein intelligenter Vertragsprüfungsdienst. Der Dienst sagte, dass das Problem durch ihren Prüfungsprozess gerutscht sei, da sie von der Anzahl der Projekte überwältigt und damit beschäftigt gewesen seien, neue Analysten einzuarbeiten.
„Als wir vor ~4 Monaten das Grim Finance-Audit durchführten, erlebte unsere Firma ein schnelles Wachstum und stellte schnell neue Mitarbeiter ein. Dieses Audit wurde von einem Analysten durchgeführt, der neu im Team war, und während unser CTO im Urlaub war; und leider wurde dieses Problem nicht erfasst unser Peer-Review-Prozess”, Solidity Finance sagte.
Gemäß Rugdoc.io, ein DeFi-Wachhund, nutzte der Grim Finance-Hacker einen Reentrancy-Angriff und fälschte zusätzliche Einzahlungen in einen Tresor, während eine erste Transaktion noch lief. Auf diese Weise gelang es ihnen, mehr Geld abzuheben, als sie tatsächlich in den Tresor eingezahlt hatten.
Rugdoc.io kritisierte Grim Finance auch wegen seiner schwachen Sicherheitsmaßnahmen und schlug vor, dass das Projekt einen Wiedereintrittswächter hätte verwenden sollen, der verhindern kann, dass mehr als eine Funktion gleichzeitig ausgeführt wird, indem der Vertrag gesperrt wird.
„Hoffentlich können alle Projekte Lehren aus diesem Vorfall ziehen, dass die meisten erfahrenen Solidity-Entwickler viel Wissen zur Hand haben“, Rugdoc.io getwittert. „Wenn Sie dies noch nicht erworben haben, bauen Sie keine Multi-Millionen-Dollar-Projekte. Lassen Sie sich nicht von Unternehmen prüfen, von denen jeder weiß, dass sie nutzlos sind.“
Nach dem Hack sagte das Grim Finance-Team, dass die Tresore pausiert wurden, „um zu verhindern, dass zukünftige Gelder gefährdet werden“, und empfahl den Benutzern, ihre Gelder abzuheben, da alle Tresore und eingezahlten Gelder gefährdet seien.
„Wir haben Kontakt aufgenommen und benachrichtigt Kreis (USDC), DAI und AnySwap in Bezug auf die Angreiferadresse, um möglicherweise weitere Geldtransfers einzufrieren”, sagte das Team.
Unterdessen stürzte der native Token GRIM des Projekts in den frühen Stunden des Hacks um 81,2 % ab und fiel laut CoinGecko von fast 0,8 USD auf 0,15 USD. Um 10:07 UTC ist die Münze in den letzten 24 Stunden um 3,3 % gestiegen und in der vergangenen Woche um 55 % gefallen und wird bei 0,25 USD gehandelt.
____
Mehr erfahren:
– Kryptosicherheit im Jahr 2022: Bereiten Sie sich auf weitere DeFi-Hacks, Börsenausfälle und Noob-Fehler vor
– Was haben wir aus dem MonoX-Hack gelernt?
– Hacked Vulcan Forged gibt an, „die Mehrheit“ der betroffenen Benutzer erstattet zu haben
– AscendEX gehackt, um Benutzer zu entschädigen, sagt, „relativ kleiner Prozentsatz“ betroffen
– Bitmart gehackt, um Krypto-Händler nach einem Verlust von 200 Mio. USD zu entschädigen
– Badger DAO scheint bei einem Angriff über 120 Mio. USD verloren zu haben