Le site DeFi a été piraté pour 30 millions de dollars de jetons samedi, a confirmé Grim Finance, dans une « attaque avancée« .
Grim se présente comme un « optimiseur de rendement composé« , ce qui signifie qu’il promet d’extraire une valeur supplémentaire des jetons de fournisseurs de liquidités que les utilisateurs reçoivent des échanges décentralisés s’ils les enferment dans un coffre-fort Grim. Comme le dit Grim dans la documentation de son protocole, « Aider les utilisateurs à récolter plus de récompenses, sans tracas« .
Le protocole est construit au sommet de la blockchain Fantom Opera, une plateforme compatible avec les contrats intelligents construite à l’aide du langage Solidity et compatible avec Ethereum. Le pirate a utilisé une attaque par réentraînement, qui est un exploit permettant à quelqu’un de simuler des dépôts supplémentaires dans un coffre-fort alors qu’une transaction initiale est toujours en cours, trompant ainsi le protocole.
Hello Grim Community,
It is with heavy hearts that we inform you that our platform was exploited today by an external attacker roughly 6 hours ago. The attackers address has been identified with over 30 million dollars worth of theft here https://t.co/qA3iBTSepb
— Grim Finance (@financegrim) December 19, 2021
« Nous avons contacté et notifié Circle (USDC), DAI et AnySwap au sujet de l’adresse de l’attaquant afin de geler potentiellement tout autre transfert de fonds« , a tweeté Grim, mais l’attaquant s’est déjà occupé de transférer les fonds via stablecoin transferts.
Rugdoc.io, un groupe de surveillance de la DeFi composé d’auditeurs et d’investisseurs de contrats intelligents, affirme que Grim Finance aurait dû être mieux informé et utiliser une protection contre la réentrance.
🚨 Grim Finance exploited 🚨 #Fantom vault platform Grim Finance was just exploited through a reentrancy vector.@financegrim pic.twitter.com/l72xHwOwLZ
— Rugdoc.io (@RugDocIO) December 18, 2021
« Espérons que tous les projets pourront tirer des leçons de cet incident, car la plupart des développeurs expérimentés de Solidity ont beaucoup de connaissances à portée de main« . a écrit. « Si vous ne l’avez pas encore acquis, ne construisez pas de projets de plusieurs millions de dollars. Ne vous faites pas auditer par des sociétés dont tout le monde sait qu’elles sont inutiles. »
Grim a vanté un audit de son jeton financier et de ses contrats de coffre-fort par Solidity Finance. Selon le rapport de Solidity Finance, « ReentrancyGuard est utilisé dans les endroits concernés pour prévenir [sic] les attaques de réentraînement. »
Depuis dimanche, les dépôts dans tous les coffres de Grim Finance restent en pause pour éviter de nouveaux vols.
