Auditores da Grim Finance Culpam novo Analista por Falha que causou Hack
Os auditores da plataforma de finanças descentralizadas (DeFi) Grim Finance, que foi hackeada por US$ 30 milhões em ativos digitais no domingo, afirmam que um novo analista conduziu a auditoria do protocolo enquanto seu Diretor de Tecnologia (CTO) estava de férias.
Em 19 de dezembro, Grim Finance informou aos usuários que o projeto foi explorado por um hacker externo. “O invasor atacou usando a função beforeDeposit () de nossa estratégia de vault, entrando em um contrato de token malicioso”, detalhou a equipe.
Há aproximadamente quatro meses, o Grim Finance foi auditado pela Solidity Finance, um serviço inteligente de auditoria de contratos. O serviço disse que o problema escapou ao processo de auditoria, pois estavam sobrecarregados com o número de projetos e ocupados com a integração de novos analistas.
“Ao realizar a auditoria da Grim Finance há cerca de 4 meses, nossa empresa estava passando por um rápido crescimento e contratações. Esta auditoria foi realizada por um analista que era novo na equipe e enquanto nosso CTO estava de férias; infelizmente, esse problema não foi detectado no nosso processo de revisão realizado”, disse Solidity Finance.
De acordo com Rugdoc.io, um watchdog do DeFi, o hacker do Grim Finance usou um ataque de reentrada, falsificando depósitos adicionais em um cofre enquanto uma transação inicial ainda estava em andamento. Dessa forma, eles conseguiram retirar mais fundos do que realmente haviam depositado no cofre.
Rugdoc.io também criticou a Grim Finance por suas medidas de segurança fracas, sugerindo que o projeto deveria ter usado uma guarda de reentrada, o que pode impedir que mais de uma função seja executada ao mesmo tempo, bloqueando o contrato.
“Esperançosamente, todos os projetos podem tirar lições desse incidente de que há muito conhecimento que a maioria dos desenvolvedores de Solidity experientes têm em mãos”, Rugdoc.io twittou. “Se você ainda não adquiriu isso, não construa projetos multimilionários. Não receba auditorias de empresas que todos sabem que são inúteis.”
Após o hack, a equipe de Grim Finance disse que os cofres foram pausados ”para evitar que quaisquer fundos futuros sejam colocados em risco” e recomendou que os usuários retirassem seus fundos, já que todos os cofres e fundos depositados estão em risco.
“Entramos em contato e notificamos o Circle (USDC), DAI e AnySwap sobre o endereço do invasor para potencialmente congelar quaisquer transferências de fundos adicionais”, disse a equipe.
Enquanto isso, o token nativo GRIM do projeto caiu 81,2% nas primeiras horas do hack, caindo de quase US$ 0,8 para US$ 0,15, de acordo com CoinGecko. Às 10:07 UTC, a moeda subiu 3,3% nas últimas 24 horas e caiu 55% na semana anterior, sendo negociada a US$ 0,25.
