Decentralised finance (DeFi) is ook deze week niet gespaard gebleven van hacks. Een aanvaller is erin geslaagd om 30 miljoen dollar te stelen van het Grim Finance protocol, dankzij een vrij bekende re-entrancy aanval.
Grim Finance heeft $30m gestolen
Grim Finance (GRIM), een gedecentraliseerd financieringsprotocol (DeFi), bevestigde het nieuws op zijn Twitter-account. Afgelopen zaterdag werd het slachtoffer van een aanval die resulteerde in het verlies van 30 miljoen dollar aan digitale activa. De fout heeft direct invloed op de kluizen, en alle gebruikersgelden zijn momenteel in gevaar.
Het protocol is geïmplementeerd op de Fantom Opera blockchain, gebouwd in de Solidity taal en compatibel met Ethereum (ETH). Grim Finance beweert een “compound return optimizer” te zijn, wat betekent dat het belooft uw tokens terug te brengen door ze tijdelijk in zijn kluizen op te sluiten.
Hallo Grim gemeenschap,
Het is met een zwaar gemoed dat wij u informeren dat ons platform vandaag is misbruikt door een externe aanvaller, ongeveer 6 uur geleden. Het adres van de aanvallers is geïdentificeerd met meer dan 30 miljoen dollar aan diefstal hier https://t.co/qA3iBTSepb
– Grim Finance (@financegrim) December 19, 2021
In zijn technische documentatie stelt Grim dat het “gebruikers wil helpen meer beloningen te oogsten, zonder gedoe”. Blijkbaar niet waar.
Wat is deze aanval?
Volgens informatie van Grim Finance, gebruikte de hacker een veel voorkomende “reentrancy” aanval. Dit houdt in dat een verzoek om opneming wordt gedaan, en vervolgens verscheidene andere tegelijkertijd, terwijl het eerste nog wordt uitgevoerd. Op die manier misleidt de aanvaller het protocol en maakt hij een opname die het totale bedrag in de kluis overschrijdt.
In dergelijke gevallen hebben de protocollen gewoonlijk alleen beveiliging bij het inleiden en afronden van uw verzoek. Zij controleren eerst of uw kluis over voldoende middelen beschikt om de opname te verrichten. Vervolgens is er een extra controle bij de validatie van de transactie, hoofdzakelijk om de aangerekende kosten te berekenen.
Ervan uitgaande dat verschillende verzoeken om opnames uit de hele kluis gelijktijdig worden gedaan voordat een van die verzoeken wordt gevalideerd. Dan wordt elke opname toegestaan en kunt u meer opnemen dan u eigenlijk hebt. Dit is het (zeer vereenvoudigde) principe van een “reentrancy attack”.
Details van de aanval:
Dit was een geavanceerde aanval. De aanvaller viel aan met behulp van de functie getiteld beforeDeposit() van onze kluisstrategie die een kwaadaardig tokencontract invoerde.
– Grim Finance (@financegrim) December 19, 2021
Wat is de toekomst van Grim Finance?
Reentrancy aanvallen komen relatief vaak voor op Ethereum, en beginnen goed begrepen te worden door de protocollen. In feite beweert Rugdoc.io, een DeFi waakhond groep die bestaat uit smart contract expert auditors, in een reeks tweets dat Grim Finance direct schuldig is. De code had een “reentrancy guard” moeten bevatten, d.w.z. een specifieke bescherming tegen dit soort aanvallen.
Laten we hopen dat alle projecten kunnen leren van dit incident. Er is veel kennis die de meeste ervaren Solidity ontwikkelaars binnen handbereik hebben. Als je het nog niet doorhebt, bouw dan geen multi-miljoen dollar projecten. Laat je niet auditen door bedrijven waarvan iedereen weet dat ze waardeloos zijn,” luidt een van de tweets.
Grim Finance ging via Solidity Finance om de veiligheid van hun protocol’s smart contracts code te controleren. Volgens hun verslag wordt “ReetrancyGuard waar nodig gebruikt om reentrancy-aanvallen te voorkomen”. Weer mis.
Een klap voor de economie van het Grim Finance ecosysteem, het GRIM token kreeg snel een klap van het nieuws. De prijs daalde met meer dan 80%, van ongeveer $0,8 tot slechts $0,15 op zijn dieptepunt. Op het moment van schrijven, wordt het verhandeld voor $0.2.
GRIM token prijs evolutie (Bron: CoinGecko)
In de ochtend op zondag waren sommige kluizen tijdelijk open voor gebruikers om hun geld op te nemen. Vanaf het eind van de middag zijn alle stortingen en opnames in de kluizen van Grim Finance opgeschort om verdere incidenten te voorkomen.
