Grim Finance でトークン契約が悪用される
Fantomブロックチェーン上に構築されたプラットフォームGrim Financeは、攻撃者が悪意のあるトークン契約を利用したことを発表し、エクスプロイトがボールト契約で見つかったため、「すべてのボールトと預け入れられた資金が現在危険にさらされている」ことを明らかにした。
Justas Vee「I Just Lost Everything on Grim Finance」より動画引用
※動画は全編英語で放映されているため、日本語訳が必要な場合は、画面右下に表示されているアイコンの中から「字幕」をクリックし、次に、「設定」アイコンをクリックし、表示されたメニューの中から「字幕」⇒「自動翻訳」⇒「日本語」の順に設定することで、大まかな日本語訳が表示されます。
Grimは複利利回りオプティマイザーであり、DeFi投資家がDEXをGrimに固定した場合、DEXから受け取る流動性プロバイダー(LP)トークンから追加の価値を引き出す。また、影響を受けたユーザーの1人が明らかにしたように、APY(年利)が同業他社よりもはるかに高いため、非常に魅力的なオプションと捉えられている。
Hello Grim Community,
It is with heavy hearts that we inform you that our platform was exploited today by an external attacker roughly 6 hours ago. The attackers address has been identified with over 30 million dollars worth of theft here https://t.co/qA3iBTSepb
— Grim Finance (@financegrim) December 19, 2021
私たちのプラットフォームが今日、約6時間前に外部の攻撃者によって悪用されたことをお知らせします。攻撃者のアドレスは、ここで3,000万ドル以上の盗難で特定されています
資金をすぐに引き出すよう警告
12月19日(日曜日)にGrim Financeはツイッターで攻撃の犠牲者だったことを明らかにした。攻撃者は、5つの再入可能ループを開始する悪意のあるトークン契約を締結している。
再入可能性は、プラットフォームがまだ最初の預金を処理している間に、攻撃者が追加の預金をボールトに偽造する攻撃であり、Grimの場合、これが5回行われている。抜け穴を悪用する1時間前に攻撃者は、ユーザーが送信者と受信者の間のチェーン上のリンクを切断できるイーサリアムコインミキサーであるTornado Cash(トルネードキャッシュ)を使用し、イーサリアムとバイナンスのスマートチェーンウォレットに資金を提供。これにより、資金源を追跡することがほぼ不可能になっている。
攻撃被害発覚後、Grimはすべての保管庫を一時停止させたことで、今後資金が危険にさらされるのを防いだほか、すべてのユーザーに、すべての資金をすぐに引き出すように警告している。
