O financiamento descentralizado (DeFi) não é novamente poupado de hacks esta semana. Um atacante conseguiu roubar 30 milhões de dólares do protocolo Grim Finance, graças a um ataque de reentrância relativamente conhecido.
Grim Finance tem $30m roubados
Grim Finance (GRIM), um protocolo de financiamento descentralizado (DeFi), confirmou as notícias na sua conta no Twitter. Este sábado, foi vítima de um ataque que resultou na perda de 30 milhões de dólares em activos digitais. A falha afecta directamente os cofres, e todos os fundos dos utilizadores estão actualmente em risco.
O protocolo é implementado na cadeia de bloqueio da Ópera de Fantom, construído na linguagem Solidity e compatível com Ethereum (ETH). A Grim Finance afirma ser um “optimizador de retorno composto”, o que significa que promete trazer um retorno às suas fichas, fechando-as temporariamente nos seus cofres.
Hello Grim Community,
É com pesar que vos informamos que a nossa plataforma foi explorada hoje por um atacante externo há cerca de 6 horas atrás. O endereço dos atacantes foi identificado com mais de 30 milhões de dólares de roubo aqui https://t.co/qA3iBTSepb
– Grim Finance (@financegrim) de Dezembro 19, 2021
W
Na sua documentação técnica, Grim afirma que quer “ajudar os utilizadores a colher mais recompensas, sem aborrecimentos”. Aparentemente não é verdade.
O que é este ataque?
De acordo com informações da Grim Finance, o hacker usou um ataque de “reentrância” bastante comum. Isto implica iniciar um pedido de retirada, fazendo depois vários outros em simultâneo enquanto o primeiro ainda está a ser executado. Desta forma, o atacante engana o protocolo e faz uma retirada que excede a quantidade total no cofre.
Nestes casos, os protocolos geralmente só têm segurança no início e conclusão do seu pedido. Primeiro verificam se o seu cofre tem fundos suficientes para fazer o levantamento. Depois há uma verificação adicional na validação da transacção, principalmente para calcular as taxas cobradas.
Assumindo que vários pedidos de retirada do cofre inteiro são feitos simultaneamente antes de qualquer um deles ser validado. Então cada um deles será autorizado e poderá retirar mais do que realmente tem. Este é o princípio (muito simplificado) de um “ataque de reentrância”.
Detalhes do Ataque:
Este foi um ataque avançado. O atacante atacou usando a função intitulada beforeDeposit() da nossa estratégia de cofre entrando num contrato simbólico malicioso.
– Grim Finance (@financegrim) de Dezembro 19, 2021
Qual é o futuro do Grim Finance?
Os ataques de reentrância são relativamente comuns no Ethereum, e começam a ser bem compreendidos pelos protocolos. De facto, Rugdoc.io, um grupo de vigilância DeFi composto por auditores especializados em contratos inteligentes, afirma numa série de tweets que a Grim Finance é directamente culpada. O código deveria ter contido um “guarda de reentrância”, ou seja, uma protecção específica contra este tipo de ataque.
Esperemos que todos os projectos possam aprender com este incidente. Há muitos conhecimentos que a maioria dos criadores experientes de Solidez têm na ponta dos dedos. Se ainda não o descobriu, não construa projectos multimilionários. Não seja auditado por empresas que todos sabem que são inúteis”, lê um dos tweets.
Grim Finance passou pelo Solidity Finance para auditar a segurança do código de contratos inteligentes do seu protocolo. De acordo com o seu relatório, “ReetrancyGuard é utilizado sempre que necessário para prevenir ataques de reentrada”. Errado novamente.
Um golpe para a economia do ecossistema das Finanças Soturnas, a ficha GRIM foi rápida a receber um golpe das notícias. O preço caiu mais de 80%, de cerca de $0,8 para apenas $0,15 no seu valor mais baixo. No momento da redacção, está a negociar por $0.2.
GRIM token evolution price (Fonte: CoinGecko)
No domingo de manhã, alguns cofres estavam temporariamente abertos para que os utilizadores pudessem levantar os seus fundos. Contudo, a partir do final da tarde, todos os depósitos e levantamentos nos cofres da Grim Finance permanecem em espera para evitar quaisquer outros incidentes
