DeFiプロトコルGrim Financeにハッキング　30億円以上が不正流出

グリムファイナンスにハッキング

DeFiプロジェクトのGrim Finance（グリムファイナンス）は19日、ハッキングを受け3,000万ドル（約34億円）相当の暗号資産（仮想通貨）が不正流出したと報告した。

Hello Grim Community,

It is with heavy hearts that we inform you that our platform was exploited today by an external attacker roughly 6 hours ago. The attackers address has been identified with over 30 million dollars worth of theft here https://t.co/qA3iBTSepb

— Grim Finance (@financegrim) December 19, 2021

グリムファイナンスは、ユーザーが分散型取引所から受け取るトークンを預かり、そこからより多くの利益を生み出すことを可能にするプロジェクトだ。

このプロトコルは、プログラミング言語「Solidity」を使用して、イーサリアム（ETH）と互換性のあるスマートコントラクトプラットフォームであるファントム（FTM）のOperaブロックチェーンの上に構築されている。

グリムファイナンスは、さらなる盗難を避けるために資金保管のコントラクトを一時的に停止。ユーザーに、「すべての資金をすぐに引き出してほしい」と呼びかけた。「資金を保管するコントラクトに不正侵入が行われたので、現在すべての保管庫とそこに預けられた資金が危険にさらされている」という。

また、グリムファイナンスは、ハッカーの今後の資金移動を凍結するために、ステーブルコインUSDCとDaiの提供元や、DeFi取引プロトコルAnySwapに連絡した。

This is a fake account and we are not associated with it! Please report it! pic.twitter.com/nZRBJpu02T

— Grim Finance (@financegrim) December 19, 2021

すでに、事件に乗じて、グリムファイナンスの対応窓口を騙る偽アカウントも出現しており、グリムファイナンスがユーザーに注意を促した。

事件を受けて、グリムファイナンスの独自トークンは、24時間で約74％下落している。

リエントランシー攻撃を使用

ハッカーはリエントランシー攻撃を使用して不正に資金を引き出していた。最初の取引が処理されている間に、金庫に追加の入金を行ったように偽装することで、追加出金を行っている。

6) Hopefully all projects can draw lessons from this incident that there is much knowledge most experienced solidity devs have at hand. If you haven't acquired this yet, don't build multi-million dollar projects. Don't get audits from companies which everyone knows are useless.

— Rugdoc.io (@RugDocIO) December 18, 2021

今回の不正流出について、スマートコントラクトの監査人と投資家からなるDeFiの監視団体「Rugdoc.io」は、グリムファイナンスが、リエントランシーを防ぐガード機能を備えておくべきだったことなどを指摘。

「ほとんどの経験豊富なsolidity開発者なら知っている知識があり、それらをまだ習得していないなら、数百万ドルのプロジェクトを作ってはいけない」「すべてのDeFiプロジェクトが、今回のハッキングを教訓にしてくれることを望む」と続けた。