Fantom 區塊鏈上的複合收益項目 Grim Finance 19 日宣布,遭到閃電貸攻擊,損失金額達三千萬美元。截稿當前在網站可以看到暫停所有存入,以防止二次盜竊。但有專門 DeFi 安全團隊指出,Grim 的安全設計起初便不確實,甚至犯了經驗不足者才會犯的錯。
(前情提要:Cream Finance第三度遭閃電貸攻擊、損失 1.3 億美元,駭客留下神秘訊息)
(事件背景:Indexed Finance : 找到「1600萬鎂閃電貸攻擊」駭客,下最後通牒仍未現身!)
建立在 Fantom Opera 區塊鏈上的複合收益項目 Grim Finance 19 日驚傳遭閃電貸攻擊,Grim 官方在推特上證實此事,除了釋出攻擊細節外、也表示至少三千萬美元被盜走,官方目前暫停所有存入,並呼籲用戶們盡速將資產提出以免二度受害。
延伸閱讀:DeFi 9月回顧|新興公鏈 Solana、Avalanche、Fantom 正崛起,Layer2發展「一枝獨秀」
官方緊急暫停項目、要求用戶盡速提領資產
12 月 19 日早上八點,Grim 官方在推特上表示:
哈囉 Grim 社群,
懷著沉重的心情,我們要向您告知,我們的平台在大約六小時前遭外部攻擊者利用,
攻擊地址目前至少存有價值三千萬美元的代幣。
Hello Grim Community,
It is with heavy hearts that we inform you that our platform was exploited today by an external attacker roughly 6 hours ago. The attackers address has been identified with over 30 million dollars worth of theft here https://t.co/qA3iBTSepb
— Grim Finance (@financegrim) December 19, 2021
官方也隨後公布攻擊詳情,駭客瞄準 Grim 的 Vault 政策中名為 beforeDeposit() 的函數進行攻擊,輸入惡意合約。該惡意合約對 Vault 進行了多次重入,鑄造了遠多於合理的抵押憑證,最後藉憑證盜走 FTM 與 BTC 代幣,並歸還閃電貸。
– 駭客攻擊詳情 | 圖源:FTMScan -該漏洞殃及 Grim Finance 上的所有資金庫,因此官方緊急宣布暫停所有存入服務,並呼籲用戶們應儘快將資金取出,以免面臨任何風險。官方也表示已經將犯案地址通報給 Circle(USDC)、DAI 和 AnySwap,試圖阻撓駭客轉移資產。
遭指安全設計不確實、開發經驗不足
由智能合約審計人員、投資人組成的 DeFi 項目監督組織 Rugdoc.io 則在研究後於推特上表示,他們發現 Grim 根本沒有為閃電貸攻擊預先設下保護措施,包括在資金轉移前檢查資金池總額、傳入代幣之合法性,及無防入鎖。Rugdoc.io 指出 Grim 有兩大失誤,其一便是並未做好保護措施,其二則是賦予用戶選擇存入代幣的權力、這給了駭客可乘之機。
Rugdoc.io 最終表示,希望所有的項目都能從此事件中記取教訓,大多數的 Solidity 開發者都具備豐富經驗(暗指 Grim 的開發團隊經驗不足),更呼籲項目方若未做好準備,不要隨意建立價值數百萬、甚至數千萬的項目。
