Grim Finance, een decentralized finance (DeFi) project op het Fantom (FTM) Opera netwerk, werd afgelopen weekend gehackt. De aanvallers zijn met maar liefst $30 miljoen aan cryptocurrency ervandoor, meldt het team van Grim Finance gisteren op Twitter:
Hello Grim Community,
It is with heavy hearts that we inform you that our platform was exploited today by an external attacker roughly 6 hours ago. The attackers address has been identified with over 30 million dollars worth of theft here https://t.co/qA3iBTSepb
— Grim Finance (@financegrim) December 19, 2021
Grim Finance noemt het een “geavanceerde aanval.” De aanvallers maakten misbruik van een kwetsbaarheid in de code via een zogenaamde “reentrancy,” of herintreding, aanval. Daarmee leek het alsof de aanvallers additionele stortingen deden in het smart contract die eigenlijk niet plaatsvonden.
Het team van Grim Finance legde vervolgens alles stil en vroeg al zijn gebruikers om hun crypto uit de kluizen van het protocol op te nemen. Ook vroeg het aan Circle (USDC), DAI en AnySwap om de adressen betrokken bij de aanval te bevriezen. Er werden voornamelijk FTM tokens gestolen.
Grim Finance is een DeFi protocol die gebruikers tokens laat staken, oftewel vastzetten, in liquidity pools, genaamd ‘Grim Vaults.’ Hiermee kunnen gebruikers hun yield farming automatisch laten uitvoeren. Het project lijkt dan ook enigszins op Yearn Finance, maar is gebouwd op Fantom. Fantom is compatibel met Ethereum (ETH) omdat het beide met de Solidity programmeertaal is ontwikkeld.
Volgens RugDoc.io had dit voorval echter vermeden kunnen worden als Grim Finance gebruik maakte van een “reentrancy guard,” oftewel een beschermlaag tegen dit soort misbruik. Ook hadden volgens RugDoc.io gebruikers meer toestemming dan nodig was. Rugdoc.io hoopt dat andere projecten van deze fouten kunnen leren:
6) Hopefully all projects can draw lessons from this incident that there is much knowledge most experienced solidity devs have at hand. If you haven't acquired this yet, don't build multi-million dollar projects. Don't get audits from companies which everyone knows are useless.
— Rugdoc.io (@RugDocIO) December 18, 2021
Banshee Farms pleegt exit scam
De total value locked (TVL) in Grim Finance is volgens gegevens van DeFiLlama dit weekend van bijna $100 miljoen naar nog maar $4,2 miljoen gedaald. Rugdoc.io meldt in gerelateerd nieuws dat het team van Banshee Farms, ook op Fantom, een zogeheten rug-pull heeft gepleegd. Ze zijn dus met het geld van de investeerders ervandoor.
🚨 As we warned, Banshee Farms (https://t.co/BSVQxSj3OG) soft-rugged. Devs are AWOL, they removed their liquidity and sold tokens. We recommend getting out of this project if you have funds in it. pic.twitter.com/GOr7cXEqvd
— Rugdoc.io (@RugDocIO) December 20, 2021
De DeFi markt explodeerde anderhalf jaar geleden, maar gezien de frequente aanvallen is het duidelijk dat deze sector nog altijd in de kinderschoenen staat.
