閃電貸又出現！Grim Finance 遭攻擊損失三千萬美元！

緊貼世界各地區塊鏈社群最新資訊，追蹤 Coindaily 社交平台！

加入 TG 頻道： https://t.me/coindaily_official
Facebook：https://www.facebook.com/CoinDaily_official
Instagram：https://www.instagram.com/coindaily.official

Fantom Opera 區塊鏈上的複合收益項目 Grim Finance 12 月 19 日驚傳遭閃電貸攻擊，Grim 官方在推特上證實此事，除了釋出攻擊細節外、也表示至少三千萬美元被盜走，官方目前暫停所有存入，並呼籲用戶們盡速將資產提出以免二度受害。

官方緊急暫停項目、要求用戶盡速提領資產

12 月 19 日早上八點，Grim 官方在推特上表示：

「哈囉 Grim 社群，

懷著沉重的心情，我們要向您告知，我們的平台在大約六小時前遭外部攻擊者利用，

攻擊地址目前至少存有價值三千萬美元的代幣。」

官方也隨後公布攻擊詳情，駭客瞄準 Grim 的 Vault 政策中名為  beforeDeposit() 的函數進行攻擊，輸入惡意合約。該惡意合約對 Vault 進行了多次重入，鑄造了遠多於合理的抵押憑證，最後藉憑證盜走 FTM 與 BTC 代幣，並歸還閃電貸。

該漏洞殃及 Grim Finance 上的所有資金庫，因此官方緊急宣布暫停所有存入服務，並呼籲用戶們應儘快將資金取出，以免面臨任何風險。官方也表示已經將犯案地址通報給 Circle（USDC）、DAI 和 AnySwap，試圖阻撓駭客轉移資產。

開發經驗不足

由智能合約審計人員、投資人組成的 DeFi 項目監督組織 Rugdoc.io 則在研究後於推特上表示，他們發現 Grim 根本沒有為閃電貸攻擊預先設下保護措施，包括在資金轉移前檢查資金池總額、傳入代幣之合法性，及無防入鎖。Rugdoc.io 指出 Grim 有兩大失誤，其一便是並未做好保護措施，其二則是賦予用戶選擇存入代幣的權力、這給了駭客可乘之機。

Rugdoc.io 最後表示，希望所有的項目都能從此事件中記取教訓，大多數的 Solidity 開發者都具備豐富經驗（暗指 Grim 的開發團隊經驗不足），更呼籲項目方若未做好準備，不要隨意建立價值數百萬、甚至數千萬的項目。