財經
閃電貸又出現!Grim Finance 遭攻擊損失三千萬美元!
Fantom Opera 區塊鏈上的複合收益項目 Grim Finance 12 月 19 日驚傳遭閃電貸攻擊,Grim 官方在推特上證實此事,除了釋出攻擊細節外、也表示至少三千萬美元被盜走,官方目前暫停所有存入,並呼籲用戶們盡速將資產提出以免二度受害。
緊貼世界各地區塊鏈社群最新資訊,追蹤 Coindaily 社交平台!
加入 TG 頻道: https://t.me/coindaily_official
Facebook:https://www.facebook.com/CoinDaily_official
Instagram:https://www.instagram.com/coindaily.official
Fantom Opera 區塊鏈上的複合收益項目 Grim Finance 12 月 19 日驚傳遭閃電貸攻擊,Grim 官方在推特上證實此事,除了釋出攻擊細節外、也表示至少三千萬美元被盜走,官方目前暫停所有存入,並呼籲用戶們盡速將資產提出以免二度受害。
官方緊急暫停項目、要求用戶盡速提領資產
12 月 19 日早上八點,Grim 官方在推特上表示:
「哈囉 Grim 社群,
懷著沉重的心情,我們要向您告知,我們的平台在大約六小時前遭外部攻擊者利用,
攻擊地址目前至少存有價值三千萬美元的代幣。」
官方也隨後公布攻擊詳情,駭客瞄準 Grim 的 Vault 政策中名為 beforeDeposit() 的函數進行攻擊,輸入惡意合約。該惡意合約對 Vault 進行了多次重入,鑄造了遠多於合理的抵押憑證,最後藉憑證盜走 FTM 與 BTC 代幣,並歸還閃電貸。
該漏洞殃及 Grim Finance 上的所有資金庫,因此官方緊急宣布暫停所有存入服務,並呼籲用戶們應儘快將資金取出,以免面臨任何風險。官方也表示已經將犯案地址通報給 Circle(USDC)、DAI 和 AnySwap,試圖阻撓駭客轉移資產。
開發經驗不足
由智能合約審計人員、投資人組成的 DeFi 項目監督組織 Rugdoc.io 則在研究後於推特上表示,他們發現 Grim 根本沒有為閃電貸攻擊預先設下保護措施,包括在資金轉移前檢查資金池總額、傳入代幣之合法性,及無防入鎖。Rugdoc.io 指出 Grim 有兩大失誤,其一便是並未做好保護措施,其二則是賦予用戶選擇存入代幣的權力、這給了駭客可乘之機。
Rugdoc.io 最後表示,希望所有的項目都能從此事件中記取教訓,大多數的 Solidity 開發者都具備豐富經驗(暗指 Grim 的開發團隊經驗不足),更呼籲項目方若未做好準備,不要隨意建立價值數百萬、甚至數千萬的項目。