Криптопроект обчистили на $30 млн: хакеры нашли "дыры" в безопасности

Еще одна DeFi-платформа стала жертвой криптопреступников

Созданный на базе сети Fantom Opera DeFi-проект Grim Finance стал жертвой хакеров. Причиной случившегося эксперты назвали ошибку в смарт-контракте и недостатки системы безопасности – они позволило злоумышленникам вывести криптовалюты на $30 млн.

Об этом Grim Finance сообщила на своей странице в Twitter. Для кражи хакеры применили эксплойт – вредоносный фрагмент кода, использующий программные уязвимости.

"С тяжелым сердцем сообщаем вам, что примерно 6 часов назад наша платформа была взломана извне злоумышленником. По адресу злоумышленника была обнаружена кража на сумму более $30 млн", – заявили в Grim Finance.

Как объяснили в компании, эксплойт обнаружили в контракте криптовалютного кошелька. Киберпреступники получили доступ к нему через функцию beforeDeposit() при помощи вредоносного токен-контракта.

Видео дня

Компания уже предоставила Circle (USDC), DAI и AnySwap адрес злоумышленника. У этих платформ есть возможность заблокировать кошелек и предотвратить все дальнейшие переводы токенов.

Об обращении к правоохранителям в проекте не заявили, но в качестве меры предосторожности приостановили возможность пополнения пользователями кошельков. Они обещали уведомить о результатах расследования позже.

В Grim Finance поблагодарили проекты Beefy, Tomb, SpiritSwap и FTM Alerts за информацию о кибератаке. При этом более подробной информации о том, какие и сколько именно токенов потеряла платформа, не сообщается.

Однако по данным директора компании по кибербезопасности hexens Ваге Карапетяна, убытки от взлома могут примерно на $10 млн превышать сумму, заявленную Grim Finance. Часть средств перенаправили на децентрализованные биржи или обменяли на стейблкоины (стабильные криптовалюты, в частности USD Coin).

Аудиторская и инвестиционная компания Rugdoc.io заявила об ошибках в работке Grim Finance – пользователям предоставляли "больше привилегий, чем необходимо". В частности, им позволялось осуществлять параллельный вход в аккаунт и выбирать токен депозита.

"Надеемся, все проекты смогут извлечь уроки из этого инцидента, ведь у самых опытных разработчиков Solidity (язык программирования блокчейнов Ethereum и Fantom. – Ред.) имеется много знаний. Если вы еще за ними не обратились, не создавайте многомиллионные проекты", – говорится в Twitter-аккаунте компании.

Как уже сообщал OBOZREVATEL, с начала 2021 года в мире зарегистрировали 76 хакерских атак и афер на криптоплатформах, в результате которых сектор лишился $4,25 млрд. Крупнейшим стало мошенничество с турецкой Thodex, организаторы которой скрылись с $2 млрд своих клиентов.