El proyecto de protocolo DeFi, Grim Finance, se enfrentó a una brecha de seguridad que provocó pérdidas netas de más de 30 millones de dólares. Se cree que el ataque es uno de los mayores en la Blockchain Fantom.
El 19 de diciembre, Grim Finance, que es una plataforma optimizadora de rendimiento inteligente, construida en la Ópera Fantom, perdió tokens por valor de 30 millones de dólares después de que fuera hackeada por lo que la red del protocolo DeFi declaró como un «ataque externo«. El ataque ha sido considerado como avanzado, en el que el hacker explotó el contrato de bóveda del protocolo.
Ataques de reentrada
Los autores del ataque golpearon el contrato de bóveda del protocolo a través de cinco bucles de reentrada, lo que les permitió fingir cinco depósitos adicionales en una bóveda mientras la plataforma está procesando el primer depósito. Utilizaron un bucle de reentrada que permitía acceder a añadir algunos de los depósitos falsos en una bóveda mientras se procesaba la transacción inicial, engañando al protocolo. El atacante había financiado las carteras de Ethereum y Binance Smart Chain desde Tornado Cash creando un token malicioso apenas una hora antes de hackear Grim Finance. Después de lo cual el malhechor blanqueó los fondos a través de transferencias de stablecoin al puentear los fondos de activos digitales robados desde la red principal de Fantom a la red principal de ETH para USD Coin (USDC) y DAI.
Como medida para frenar futuros ataques, la plataforma del protocolo DeFi ha suspendido el acceso a todas las bóvedas y ha recomendado a los usuarios que retiren sus fondos. El equipo de Grim Finance declaró en un tuit que como el ataque ocurrió en el contrato de bóveda, todas las bóvedas y los fondos depositados estaban en riesgo. Además, añadieron,
«Hemos contactado y notificado a Circle (USDC), DAI y AnySwap con respecto a la dirección del atacante para potencialmente congelar cualquier otra transferencia de fondos».
Parece que los tokens robados ya se han dirigido a otros intercambios descentralizados basados en Fantom como AnySwap y SpookySwap y se han intercambiado por otros tokens como USD Coin [USDC].
Reentrada – una necesidad para las DeFi
Rugdoc.io, una plataforma de seguridad de finanzas descentralizadas, se hizo notar diciendo que el error básico de Grim Finance fue no tener una guardia de reentrada y proporcionar al usuario derechos no deseados como poder elegir su propio token de depósito. Afirmaron en un tuit que no construirían proyectos multimillonarios a menos que adquirieran una guardia de reentrada. La plataforma de seguridad continuó añadiendo,
«Esperemos que todos los proyectos puedan sacar lecciones de este incidente que tiene conocimiento que la mayoría de los devs de solidity experimentados tienen a mano».
