Une faille de sécurité dans le protocole Grim Finance a permis à un pirate de simuler plusieurs dépôts.
Le protocole de finance décentralisée (DeFi) Grim Finance a annoncé ce week-end le vol de 30 millions de dollars de tokens. Le pirate s’est appuyé sur une attaque de type « reetrancy » afin de dérober une partie des fonds placés sur la plateforme.
🚨 Grim Finance exploited 🚨 #Fantom vault platform Grim Finance was just exploited through a reentrancy vector.@financegrim pic.twitter.com/l72xHwOwLZ
— Rugdoc.io (@RugDocIO) December 18, 2021
Dimanche, Grim Finance a précisé que ce pirate était parvenu à dérober « plus de 30 millions de dollars » de cryptomonnaies :
Hello Grim Community,
It is with heavy hearts that we inform you that our platform was exploited today by an external attacker roughly 6 hours ago. The attackers address has been identified with over 30 million dollars worth of theft here https://t.co/qA3iBTSepb
— Grim Finance (@financegrim) December 19, 2021
Selon l’entité, il s’agissait d’une « attaque avancée ». Le hacker a tiré profit d’une faille dans le contrat de « vault » du protocole, qui lui a permis de simuler plusieurs dépôts.
Grim Finance a immédiatement suspendu les dépôts pour l’ensemble de ses « vaults » :
« Nous avons mis en pause la totalité des “vaults” afin d’éviter que des sommes supplémentaires ne soient placées à risque. Merci de retirer immédiatement la totalité de vos dépôts ».
L’entité a également notifié certaines crypto-sociétés, comme Circle (l’émetteur de l’USDT), DAI et le protocole « cross-chain » AnySwap, afin de les aider à geler d’éventuels transferts provenant du pirate.
Grim Finance se présente comme un « optimiseur de rendements ». Développé sur la plateforme blockchain Fantom, il permet à ses utilisateurs de « staker » des tokens de fournisseur de liquidité.
Selon les données des explorateurs de blocs de Fantom, le pirate de Grim Finance a effectué des transactions jusque dans la nuit du samedi au dimanche 19 décembre. Il détient dans l’une de ses adresses un total de 1,64 million de dollars de SpookyToken (BOO), 1,21 million de dollars de Wrapped Bitcoin ainsi que 13 500 dollars de tokens Fantom (FTM).
Dans les commentaires de la page consacrée à cette adresse, plusieurs utilisateurs ont fait part de leur désarroi :
Certains observateurs de la crypto-communauté estiment que Grim Finance devrait être tenue responsable de ce piratage, lui reprochant de ne pas avoir mis en place des mécanismes de protection suffisants. En effet, pour Rugdoc.io, un site spécialisé dans la sécurité des plateformes de DeFi, le protocole a accordé à ses utilisateurs « plus de privilèges que nécessaire » :
5) So what was the big mistake of grim finance ?
1. No reentrancy guard on a pattern that absolutely needs it (@0xPaladinSec always points this out)
2. Giving the user more privilege than is necessary : There is absolutely no need for the user to be able to choose the deposit token— Rugdoc.io (@RugDocIO) December 18, 2021
REAPER : un cours divisé par 6 en quelques heures
L’annonce de ce piratage a provoqué hier la chute du REAPER, le token natif de Grim Finance. Son cours a été divisé par près de 6 en l’espace de quelques heures, passant de 0,0435 dollar 0,00625 dollar.
Lors de la rédaction de cet article, l’actif avait retrouvé quelques couleurs. Il s’échangeait à 0,01777 dollar, en hausse de 33% sur les 24 dernières heures.
La popularité croissante de la DeFi pose de nombreux défis pour la crypto-sphère, alors que plusieurs hackers ont déjà tiré profit des failles de cette industrie émergente. Au début du mois, le protocole BadgerDAO avait ainsi révélé s’être fait dérober environ 120 millions de dollars.