Криптопроект обчистили на $30 млн: хакери знайшли "дірки" у безпеці
Віртуальний меморіал загиблих борців за українську незалежність: вшануйте Героїв хвилиною вашої уваги!
Створений на базі мережі Fantom Opera DeFi-проект Grim Finance став жертвою хакерів. Причиною того, що сталося, експерти назвали помилку в смарт-контракті і недоліки системи безпеки – вони дозволило зловмисникам вивести криптовалюти на $30 млн.
Про це Grim Finance повідомила на своїй сторінці у Twitter. Для крадіжки хакери застосували експлойт – шкідливий фрагмент коду, який використовує програмні вразливості.
"З важким серцем повідомляємо вам, що приблизно 6 годин тому наша платформа була зламана ззовні зловмисником. За адресою зловмисника було виявлено крадіжку на суму понад $30 млн ", – заявили в Grim Finance.
Як пояснили в компанії, експлойт виявили у контракті криптовалютного гаманця. Кіберзлочинці отримали доступ до нього через функцію beforeDeposit() за допомогою шкідливого токен-контракту.
Компанія вже надала Circle (USDC), DAI та AnySwap адресу зловмисника. У цих платформ є можливість заблокувати гаманець і запобігти подальшим переказам токенів.
Про звернення до правоохоронців у проекті не заявили, але як запобіжний засіб призупинили можливість поповнення користувачами гаманців. Вони обіцяли повідомити про результати розслідування пізніше.
У Grim Finance подякували проектам Beefy, Tomb, SpiritSwap та FTM Alerts за інформацію про кібератаку. Детальнішої інформації про те, які і скільки саме токенів втратила платформа, не повідомляється.
Проте, за даними директора компанії з кібербезпеки hexens Вазі Карапетяна, збитки від злому можуть приблизно на $10 млн перевищувати суму, заявлену Grim Finance. Частину коштів перенаправили на децентралізовані біржі або обміняли на стейблкоіни (стабільні криптовалюти, зокрема USD Coin).
Аудиторська та інвестиційна компанія Rugdoc.io заявила про помилки в роботі Grim Finance – користувачам надавали "більше привілеїв, ніж необхідно". Зокрема, їм дозволялося здійснювати паралельний вхід до облікового запису та вибирати токен депозиту.
"Сподіваємося, всі проекти зможуть дістати науку з цього інциденту, адже у найдосвідченіших розробників Solidity (мова програмування блокчейнів Ethereum і Fantom. – Ред.) є багато знань. Якщо ви ще за ними не звернулися, не створюйте багатомільйонні проекти", – говориться у Twitter-акаунті компанії.
Як уже повідомляв OBOZREVATEL, від початку 2021 року у світі зареєстрували 76 хакерських атак і афер на криптоплатформах, в результаті яких сектор втратив $4,25 млрд. Найбільшим стало шахрайство з турецькою Thodex, організатори якої втекли з $2 млрд своїх клієнтів.