Kiểm toán viên của nền tảng tài chính phi tập trung (DeFi) Grim Finance, đã được khai thác cho tài sản kỹ thuật số trị giá 30 triệu USD vào Chủ nhật, tuyên bố rằng một nhà phân tích mới đã tiến hành kiểm tra giao thức trong khi Giám đốc Công nghệ (CTO) của họ đang đi nghỉ.
Vào ngày 19 tháng 12, Grim Finance đã thông báo cho người dùng rằng dự án đã bị khai thác bởi một hacker bên ngoài. “Kẻ tấn công đã tấn công bằng cách sử dụng chức năng có tiêu đề beforeDeposit () từ chiến lược vault của chúng tôi khi tham gia vào một hợp đồng mã thông báo độc hại,” nhóm nghiên cứu chi tiết.
Khoảng bốn tháng trước, Grim Finance đã được kiểm toán bởi Tài chính vững chắc, một dịch vụ kiểm toán hợp đồng thông minh. Dịch vụ nói rằng vấn đề đã trượt qua quy trình kiểm toán của họ khi họ bị quá tải bởi số lượng dự án và bận rộn với việc giới thiệu các nhà phân tích mới.
“Khi thực hiện kiểm toán Grim Finance ~ 4 tháng trước, công ty của chúng tôi đang có tốc độ phát triển và tuyển dụng nhanh chóng. Cuộc kiểm toán này được thực hiện bởi một nhà phân tích mới vào nhóm & trong khi CTO của chúng tôi đang đi nghỉ; và rất tiếc, vấn đề này đã không được giải quyết. quy trình đánh giá ngang hàng của chúng tôi, “Solidity Finance nói.
Dựa theo Rugdoc.io, một cơ quan giám sát của DeFi, tin tặc Grim Finance đã sử dụng một cuộc tấn công gần đây, giả mạo các khoản tiền gửi bổ sung vào một kho tiền trong khi giao dịch ban đầu vẫn đang diễn ra. Bằng cách này, họ đã rút được nhiều tiền hơn số tiền họ thực sự gửi vào kho tiền.
Rugdoc.io cũng chỉ trích Grim Finance về các biện pháp bảo mật yếu kém của nó, cho thấy rằng dự án nên sử dụng một biện pháp bảo vệ gần đây, có thể ngăn nhiều hơn một chức năng được thực thi cùng một lúc bằng cách khóa hợp đồng.
“Hy vọng rằng tất cả các dự án có thể rút ra bài học từ sự cố này mà hầu hết các nhà phát triển solidity có kinh nghiệm đều có trong tay”, Rugdoc.io đã tweet. “Nếu bạn chưa có được điều này, đừng xây dựng các dự án hàng triệu đô la. Đừng nhận kiểm toán từ các công ty mà mọi người đều biết là vô ích.”
Sau vụ hack, nhóm Grim Finance cho biết rằng các kho tiền đã bị tạm dừng “để ngăn chặn bất kỳ khoản tiền nào trong tương lai bị đặt vào tình trạng rủi ro” và khuyến nghị người dùng rút tiền của họ vì tất cả các kho tiền và tiền gửi đều có rủi ro.
“Chúng tôi đã liên hệ và thông báo Khoanh tròn (USDC), DAI và Bất kỳ hoán đổi liên quan đến địa chỉ của kẻ tấn công để có khả năng đóng băng bất kỳ chuyển tiền nào tiếp theo, “nhóm nghiên cứu cho biết.
Trong khi đó, mã thông báo gốc GRIM của dự án đã giảm 81,2% vào những giờ đầu của vụ hack, giảm từ gần 0,8 USD xuống 0,15 USD, theo CoinGecko. Vào lúc 10:07 UTC, đồng tiền này tăng 3,3% trong 24 giờ qua và giảm 55% trong tuần qua, giao dịch ở mức 0,25 USD.
____
Tìm hiểu thêm:
– Bảo mật tiền điện tử vào năm 2022: Chuẩn bị cho nhiều vụ tấn công DeFi, sự cố trao đổi và sai lầm của Noob
– Chúng ta học được gì từ MonoX Hack?
– Vulcan giả mạo bị tấn công nói rằng nó đã hoàn lại tiền cho ‘phần lớn’ người dùng bị ảnh hưởng
– AscendEX bị tấn công để hoàn lại tiền cho người dùng, cho biết ‘Tỷ lệ phần trăm tương đối nhỏ’ bị ảnh hưởng
– Bitmart bị tấn công để đền bù cho các nhà giao dịch tiền điện tử sau khi lỗ 200 triệu USD
– Badger DAO dường như đã mất hơn 120 triệu USD trong một cuộc tấn công