La finanza decentralizzata (DeFi) non è risparmiata dagli hacker anche questa settimana. Un attaccante è riuscito a rubare 30 milioni di dollari dal protocollo Grim Finance, grazie ad un attacco di rientro relativamente noto.
Grim Finance ha 30 milioni di dollari rubati
Grim Finance (GRIM), un protocollo di finanza decentralizzata (DeFi), ha confermato la notizia sul suo account Twitter. Questo sabato, è stato vittima di un attacco che ha portato alla perdita di 30 milioni di dollari in beni digitali. La falla colpisce direttamente i caveau, e tutti i fondi degli utenti sono attualmente a rischio.
Il protocollo è implementato sulla blockchain Fantom Opera, costruita nel linguaggio Solidity e compatibile con Ethereum (ETH). Grim Finance sostiene di essere un “ottimizzatore di ritorno composto”, il che significa che promette di portare un ritorno ai tuoi token chiudendoli temporaneamente nei suoi caveau.
Ciao Comunità Grim,
È con il cuore pesante che vi informiamo che la nostra piattaforma è stata sfruttata oggi da un attaccante esterno circa 6 ore fa. L’indirizzo degli attaccanti è stato identificato con oltre 30 milioni di dollari di furto qui https://t.co/qA3iBTSepb
– Grim Finance (@financegrim) December 19, 2021
Nella sua documentazione tecnica, Grim afferma che vuole “aiutare gli utenti a raccogliere più premi, senza problemi”. Apparentemente non è vero.
Cos’è questo attacco?
Secondo le informazioni di Grim Finance, l’hacker ha usato un attacco “reentrancy” abbastanza comune. Si tratta di avviare una richiesta di prelievo, poi di farne diverse altre simultaneamente mentre la prima è ancora in corso di esecuzione. In questo modo, l’attaccante inganna il protocollo e fa un prelievo che supera l’importo totale nella cassaforte.
In questi casi, i protocolli di solito hanno sicurezza solo all’inizio e al completamento della vostra richiesta. Prima controllano che la tua cassaforte abbia fondi sufficienti per fare il prelievo. Poi c’è un ulteriore controllo alla convalida della transazione, principalmente per calcolare le spese addebitate.
Supponendo che diverse richieste di prelievo dall’intera cassaforte siano fatte simultaneamente prima che una qualsiasi di esse sia convalidata. Poi ognuno sarà autorizzato e potrete prelevare più di quello che avete effettivamente. Questo è il principio (molto semplificato) di un “attacco di rientro”.
Dettagli dell’attacco:
Questo era un attacco avanzato. L’attaccante ha attaccato usando la funzione intitolata beforeDeposit() dalla nostra strategia del vault inserendo un contratto di token malevolo.
– Grim Finance (@financegrim) December 19, 2021
Qual è il futuro di Grim Finance?
Gli attacchi di rientranza sono relativamente comuni su Ethereum, e stanno iniziando ad essere ben compresi dai protocolli. Infatti, Rugdoc.io, un gruppo DeFi watchdog composto da revisori esperti di smart contract, sostiene in una serie di tweet che Grim Finance è direttamente responsabile. Il codice avrebbe dovuto contenere una “reentrancy guard”, cioè una protezione specifica contro questo tipo di attacco.
Speriamo che tutti i progetti possano imparare da questo incidente. Ci sono molte conoscenze che la maggior parte degli sviluppatori esperti di Solidity hanno a portata di mano. Se non l’hai ancora capito, non costruire progetti multimilionari. Non farti controllare da aziende che tutti sanno essere inutili”, si legge in uno dei tweet.
Grim Finance è passato attraverso Solidity Finance per verificare la sicurezza del codice dei contratti intelligenti del loro protocollo. Secondo il loro rapporto, “ReetrancyGuard è usato dove necessario per prevenire gli attacchi di rientro”. Sbagliato di nuovo.
Un colpo all’economia dell’ecosistema Grim Finance, il token GRIM è stato rapidamente colpito dalla notizia. Il prezzo è sceso di oltre l’80%, da circa 0,8 dollari a soli 0,15 dollari al suo minimo. Al momento della scrittura, viene scambiato a 0,2 dollari.
GRIM evoluzione del prezzo del token (Fonte: CoinGecko)
La mattina di domenica, alcuni caveau erano temporaneamente aperti per consentire agli utenti di ritirare i loro fondi. Tuttavia, a partire dal tardo pomeriggio, tutti i depositi e i prelievi nei caveau di Grim Finance rimangono in attesa per evitare ulteriori incidenti
