Криптопроект обчистили на $30 млн: хакери знайшли "дірки" у безпеці

Станіслав Кожемякін
Криптовалюти
1,0 т.
Ще одна DeFi-платформа стала жертвою криптозлочинців

Створений на базі мережі Fantom Opera DeFi-проект Grim Finance став жертвою хакерів. Причиною того, що сталося, експерти назвали помилку в смарт-контракті і недоліки системи безпеки – вони дозволило зловмисникам вивести криптовалюти на $30 млн.

Про це Grim Finance повідомила на своїй сторінці у Twitter. Для крадіжки хакери застосували експлойт – шкідливий фрагмент коду, який використовує програмні вразливості.

"З важким серцем повідомляємо вам, що приблизно 6 годин тому наша платформа була зламана ззовні зловмисником. За адресою зловмисника було виявлено крадіжку на суму понад $30 млн ", – заявили в Grim Finance.

Як пояснили в компанії, експлойт виявили у контракті криптовалютного гаманця. Кіберзлочинці отримали доступ до нього через функцію beforeDeposit() за допомогою шкідливого токен-контракту.

Компанія вже надала Circle (USDC), DAI та AnySwap адресу зловмисника. У цих платформ є можливість заблокувати гаманець і запобігти подальшим переказам токенів.

Про звернення до правоохоронців у проекті не заявили, але як запобіжний засіб призупинили можливість поповнення користувачами гаманців. Вони обіцяли повідомити про результати розслідування пізніше.

У Grim Finance подякували проектам Beefy, Tomb, SpiritSwap та FTM Alerts за інформацію про кібератаку. Детальнішої інформації про те, які і скільки саме токенів втратила платформа, не повідомляється.

Проте, за даними директора компанії з кібербезпеки hexens Вазі Карапетяна, збитки від злому можуть приблизно на $10 млн перевищувати суму, заявлену Grim Finance. Частину коштів перенаправили на децентралізовані біржі або обміняли на стейблкоіни (стабільні криптовалюти, зокрема USD Coin).

Аудиторська та інвестиційна компанія Rugdoc.io заявила про помилки в роботі Grim Finance – користувачам надавали "більше привілеїв, ніж необхідно". Зокрема, їм дозволялося здійснювати паралельний вхід до облікового запису та вибирати токен депозиту.

"Сподіваємося, всі проекти зможуть дістати науку з цього інциденту, адже у найдосвідченіших розробників Solidity (мова програмування блокчейнів Ethereum і Fantom. – Ред.) є багато знань. Якщо ви ще за ними не звернулися, не створюйте багатомільйонні проекти", – говориться у Twitter-акаунті компанії.

Як уже повідомляв OBOZREVATEL, від початку 2021 року у світі зареєстрували 76 хакерських атак і афер на криптоплатформах, в результаті яких сектор втратив $4,25 млрд. Найбільшим стало шахрайство з турецькою Thodex, організатори якої втекли з $2 млрд своїх клієнтів.