Fantom DeFi Project Grim Finance na pinagsamantalahan para sa $30M

Ang tool sa yield compounding na Grim Finance ay mayroong $30 milyon na halaga ng mga Fantom token na ninakaw mula sa protocol nito pagkatapos ng pagsasamantala noong Linggo. Ang proyekto ay gumawa ng mga hakbang sa pag-iwas upang matigil ang karagdagang pinsala.

"Ipinapaalam namin sa iyo na ang aming platform ay pinagsamantalahan ngayon ng isang panlabas na umaatake humigit-kumulang 6 na oras ang nakalipas. Ang address ng mga umaatake ay natukoy na may higit sa 30 milyong dolyar na halaga ng pagnanakaw dito," tweet ng mga developer ng proyekto noong Linggo ng umaga. "Ang pagsasamantala ay natagpuan sa kontrata ng vault kaya ang lahat ng mga vault at idinepositong pondo ay kasalukuyang nasa panganib," sabi nila sa isang hiwalay na tweet.

Itinayo sa Fantom Opera network, pinapayagan ng Grim Finance ang mga user na i-stake ang kanilang mga token ng liquidity pool sa tinatawag nitong Grim Vaults, awtomatikong nag-aani ng mga ani at muling nag-staking ng mga reward gamit ang mga diskarte para sa mas mataas na ani.

Ang mga token ng liquidity pool ay ibinibigay sa mga desentralisadong gumagamit ng exchange na nagbibigay ng kanilang sariling pagkatubig bilang kapalit ng isang reward na token mula sa platform. Ang ganitong mga palitan ay isang subset ng desentralisadong Finance (DeFi) market, na umaasa sa mga matalinong kontrata sa halip na mga middlemen para sa mga serbisyong pinansyal tulad ng pagpapautang, pangangalakal, at paghiram.

Ang kadalian ng pag-staking at pag-aani ng mas mataas na mga ani sa Grim Finance ay umakit ng mahigit $100 milyon sa mga pondo ng user sa protocol, ayon sa mga sukatan ng total value locked (TVL) sa analytics tool DeFi Llama. Nanatiling ligtas sila hanggang kahapon.

Gumamit ang mga attacker ng "reentrancy" na pagsasamantala upang magnakaw ng mga pondo mula sa Grim Finance. Ang ganitong pagsasamantala ay karaniwan sa Solidity <a href="https://consensys.github.io/smart-contract-best-practices/known_attacks/">https://consensys.github.io/smart-contract-best-practices/known_attacks/</a> , ang code sa likod ng Ethereum at Fantom blockchains. Nakikita nito ang mga umaatake na nagmamanipula ng data sa pamamagitan ng pakikipag-ugnayan sa network at pagtawag sa isang hindi pinagkakatiwalaang kontrata, na nagbibigay-daan sa kanila na magkaroon ng kontrol sa mga asset na nakaimbak sa alinmang contact na kanilang pinagsamantalahan. Sa pagkakataong ito, ito ay ang mga yield-compounding vault ng Grim Finance.

Ang mga umaatake ay kumuha ng halos $30 milyon sa Fantom token, data mula sa Fantom blockchain explorer palabas. Karamihan sa mga iyon ay tila na-route na sa ibang Fantom-based desentralisadong palitan (DEX) gaya ng AnySwap at SpookySwap, kung saan ang mga ninakaw na token ay ipinagpalit sa iba pang mga token, gaya ng USD Coin, isang dollar-pegged stablecoin, sa ONE ganoong pagkakataon.

Na-pause ng mga developer ang lahat ng vault noong Linggo para maiwasan ang karagdagang pinsala. Ipinaalam pa nila ang USDC issuer na Circle, AnySwap at Maker na i-freeze ang anumang asset na nauugnay sa pagsasamantala.

Ang hack ay nagdulot ng paglabas ng naka-lock ang kabuuang halaga sa Grim Finance. $4.3 milyon na lang ang natitira sa mga Grim Finance vault, at TVL bumaba ng 84% sa nakalipas na 24 na oras.