Аудиторы взломанной Grim Finance обвиняют нового аналитика
Аудиторы платформы децентрализованного финансирования (DeFi) Grim Finance, которая обманули на сумму 30 млн долларов США в воскресенье, утверждают, что новый аналитик провел аудит протокола, пока их главный технический директор (CTO) находился в отпуске.
19 декабря Grim Finance сообщила пользователям, что проект был взломан внешним хакером. «Злоумышленник атаковал с помощью функции под названием beforeDeposit из нашей стратегии хранилища, заключив контракт с вредоносным токеном», – пояснила команда.
Примерно четыре месяца назад аудит Grim Finance проводила Solidity Finance, служба аудита смарт-контрактов. Служба сообщила, что проблема проскользнула через их процесс аудита, поскольку они были перегружены количеством проектов и были заняты набором новых аналитиков.
“При проведении аудита Grim Finance ~ 4 месяца назад наша фирма быстро росла и набирала сотрудников. Этот аудит проводил аналитик, который был новичком в команде, пока наш технический директор был в отпуске; и, к сожалению, эта проблема не была выявлена”, – сказали в Solidity Finance.
По словам Rugdoc.io, сторожевого пса DeFi, хакер Grim Finance использовал атаку повторного входа, подделав дополнительные депозиты в хранилище, пока начальная транзакция все еще продолжалась. Таким образом, им удалось вывести больше средств, чем они действительно внесли в хранилище.
Rugdoc.io также раскритиковал Grim Finance за его слабые меры безопасности, предположив, что проект следовало использовать защиту от повторного входа, которая может предотвратить одновременное выполнение нескольких функций, заблокировав контракт.
«Надеюсь, что все проекты смогут извлечь урок из этого инцидента, ведь у самых опытных разработчиков Solidity есть много знаний, – написал в Твиттере Rugdoc.io. – Если вы еще не приобрели это, не создавайте многомиллионные проекты. Не получайте аудиторские проверки от компаний, которые, как все знают, бесполезны».
После взлома команда Grim Finance заявила, что хранилища были приостановлены, «чтобы не подвергать риску любые будущие средства», и рекомендовала пользователям вывести свои средства, поскольку все хранилища и депонированные средства находятся под угрозой.
«Мы связались и уведомили Circle (USDC), DAI и AnySwap об адресе злоумышленника, чтобы потенциально заморозить любые дальнейшие переводы средств», – заявили в команде.
Между тем, по данным CoinGecko, собственный токен проекта GRIM упал на 81,2% в первые часы взлома, упав с почти 0,8 доллара США до 0,15 доллара США. В 10:07 UTC цена монеты выросла на 3,3% за последние 24 часа и упала на 55% за последнюю неделю, торгуясь на уровне 0,25 доллара США.
