Auditores de Grim Finance hackeados culpan al nuevo analista de no haber detectado el problema

 

Los auditores de la plataforma de finanzas descentralizadas ( DeFi ) Grim Finance, que fue explotada por 30 millones de dólares en activos digitales el domingo, afirman que un nuevo analista había realizado la auditoría del protocolo mientras su director de tecnología (CTO) estaba de vacaciones.

El 19 de diciembre, Grim Finance informó a los usuarios que el proyecto fue explotado por un pirata informático externo. "El atacante atacó usando la función titulada beforeDeposit () de nuestra estrategia de bóveda entrando en un contrato de token malicioso", detalló el equipo.

Hace aproximadamente cuatro meses, Grim Finance fue auditado por Solidity Finance, un servicio inteligente de auditoría de contratos. El servicio dijo que el problema se deslizó a través de su proceso de auditoría, ya que estaban abrumados por la cantidad de proyectos y estaban ocupados incorporando nuevos analistas.

"Cuando se llevó a cabo la auditoría de Grim Finance ~ hace 4 meses, nuestra firma estaba experimentando un rápido crecimiento y contratación. Esta auditoría fue realizada por un analista que era nuevo en el equipo y mientras nuestro CTO estaba de vacaciones; y, lamentablemente, este problema no se detectó nuestro proceso de revisión por pares", Solidity Finance dijo . 

Según Rugdoc.io, un perro guardián de DeFi, el hacker de Grim Finance utilizó un ataque de reentrada, falsificando depósitos adicionales en una bóveda mientras una transacción inicial aún estaba en curso. De esta manera, lograron retirar más fondos de los que realmente habían depositado en la bóveda.

Rugdoc.io también criticó a Grim Finance por sus débiles medidas de seguridad, sugiriendo que el proyecto debería haber utilizado una protección de reentrada, que puede evitar que se ejecute más de una función a la vez al bloquear el contrato.

"Con suerte, todos los proyectos pueden extraer lecciones de este incidente de que hay mucho conocimiento que la mayoría de los desarrolladores de solidez experimentados tienen a mano", tuiteó Rugdoc.io . "Si aún no lo ha adquirido, no cree proyectos de varios millones de dólares. No obtenga auditorías de empresas que todo el mundo sabe que son inútiles".

Tras el ataque, el equipo de Grim Finance dijo que las bóvedas se habían detenido "para evitar que los fondos futuros se pongan en riesgo" y recomendó a los usuarios retirar sus fondos ya que todas las bóvedas y los fondos depositados están en riesgo.

"Hemos contactado y notificado a Circle ( USDC ), DAI y AnySwap con respecto a la dirección del atacante para congelar potencialmente cualquier transferencia de fondos adicional", dijo el equipo.

Mientras tanto, el token nativo GRIM del proyecto se desplomó un 81,2% en las primeras horas del hack, cayendo de casi US$0,8 a US$0,15, según CoinGecko. A las 10:07 UTC, la moneda subió un 3.3% en las últimas 24 horas y bajó un 55% durante la última semana, cotizando a US$0.25.

----

Leer más:

Los inversores no se dejan impresionar por el lanzamiento de Parachains de Polkadot

¡Acá están los memes cripto de la semana!