Ещё один протокол DeFi стал жертвой взлома. По словам эксперта по безопасности Ваге Карапетяна, предполагаемый убыток GrimFinance составляет $ 40 млн, причём преступники использовали ту же уязвимость, что и у флэш-кредитов.
Сначала хакер взял флэш-кредит на два токена и добавил ликвидность на SpiritSwap, что позволило ему выпустить награды в SPIRIT и сделать запрос на депозит.
Затем последовательность различных команд позволила хакеру получить контроль над большим количеством одолженных токенов. Используя токен Spirit LP, хакер смог сделать повторный депозит, что позволило ему получить большое количество дополнительных токенов.
Grim Finance взломали 2 часа назад. Предполагаемый убыток: $ 40 млн.
Grim Finance(https://t.co/i6qxb1ObEy) got hacked 2 hours ago
Estimated loss: $40mln
One of the attacking transactions: https://t.co/BBWUq72CBN
Attack Analysis:#FTM #ETH #BSC #GrimFinance #GrimExploit
1/4
— Vahe Karapetyan (@k3mmio) December 18, 2021
В настоящее время известно, что после взлома было сделано более 40 транзакций. Предполагаемый убыток подсчитан путём сложения всех транзакций в разных криптовалютах, включая биткоины и токены wrapped Fantom.
Украденные средства ещё не переведены ни на какую биржу или адрес. Поскольку большая часть средств остаётся на одном адресе, и при желании централизованные биржи могут ограничить действия хакера, как это было с Poly.Network.
Grim.Finance лишь пополнил длинную череду взломов. Несколько ранее киберпреступники взломали контракт Vee.Finance, украв $ 35 млн в различных криптовалютах.
