Das dezentralisierte Finanzprotokoll (DeFi) Grim Finance meldete Verluste in Höhe von 30 Millionen US-Dollar aufgrund eines Wiedereintritts-Exploits der Einlagen der Plattform.
Grim Finance offiziell angekündigt am 18. Dezember, dass ein „externer Angreifer“ die DeFi-Plattform ausgenutzt und Kryptowährungen im Wert von „über 30 Millionen US-Dollar“ gestohlen hatte.
Laut Grim Finance war der Hack ein „fortgeschrittener Angriff“, bei dem der Angreifer den Tresorvertrag des Protokolls über fünf Wiedereintrittsschleifen ausnutzte, wodurch er fünf zusätzliche Einzahlungen in einen Tresor fälschen konnte, während die Plattform die erste Einzahlung verarbeitete.
Grim pausierte nach dem Angriff alle Tresore, um das Risiko für zukünftige Gelder zu minimieren: “Wir haben alle Tresore pausiert, um zu verhindern, dass zukünftige Gelder gefährdet werden. Bitte heben Sie alle Ihre Gelder sofort ab.”
Grim stellte fest, dass sie auch Unternehmen, die am Betrieb großer Kryptowährungen wie Circle (USDC), DAI und das Cross-Chain-Protokoll AnySwap beteiligt sind, bezüglich der Adresse des Angreifers benachrichtigt haben, um weitere Geldtransfers einzufrieren.
Grim Finance positioniert sich als „Compounding Yield Optimizer“, der auf dem DeFi-fokussierten Blockchain-Protokoll Fantom basiert und es Benutzern ermöglicht, Liquiditätsanbieter-Token durch den Einsatz komplexer Tresorstrategien abzustecken.
Laut den Fantom (FTM) Blockchain Explorer-Daten ist Grim Finance Exploiter Fortsetzung Transaktion am 19. Dezember. Eine der mit dem Exploit verbundenen Adressen hält 1,2 Millionen US-Dollar in Bitcoin (BTC), 1,7 Millionen US-Dollar in SpookyToken (BOO) sowie 13.700 US-Dollar in FTM-Token.
Einige in der Krypto-Community schlugen vor, dass Grim Finance die Verantwortung für den Exploit übernehmen sollte, da keine geeigneten Tools zum Wiedereintrittsschutz eingeführt wurden. Die DeFi-Sicherheitsplattform Rugdoc.io argumentierte auch, dass das Protokoll dem Benutzer “mehr Privilegien als nötig” einräumte.
5) Was war also der große Fehler der düsteren Finanzen?
1. Kein Wiedereintrittsschutz bei einem Muster, das es unbedingt braucht (@0xPaladinSec weist immer darauf hin)
2. Dem Benutzer mehr Privilegien als nötig einräumen: Es besteht absolut keine Notwendigkeit, dass der Benutzer den Einzahlungstoken auswählen kann— Rugdoc.io (@RugDocIO) 18. Dezember 2021
Verwandt: Finanzen neu definiert: Zwei DeFi-Hacks übersteigen 120 Millionen US-Dollar und Algo Fund startet 500 Millionen US-Dollar, 26. November bis Dezember 3
Die steigende Popularität von DeFi hat eine Reihe neuer Herausforderungen für die Kryptowährungsbranche ausgelöst, da Hacker sich beeilten, die Mängel der aufstrebenden Branche auszunutzen. Anfang Dezember wurde Berichten zufolge das DeFi-Protokoll BadgerDAO für 120 Millionen US-Dollar ausgenutzt.