O protocolo de Finanças Descentralizadas (ou DeFi, na sila em inglês) Grim Finance, foi hackeado e perdeu US$ 30 milhões em tokens no último sábado (18), confirma a equipe, devido a um “ataque avançado”.

De acordo com um tuíte, “a invasão foi encontrada no contrato do Vault, então todos os Vaults e fundos depositados estão em risco neste momento”.

Grim é considerado um “otimizador de rendimentos acumulados”, ou seja, promete render um valor extra dos tokens de fornecedores de liquidez que usuários recebem de corretoras descentralizadas (ou DEXs) se bloquearem os ativos em um vault da Grim.

O Grim pausou todos os cofres após o ataque para minimizar o risco de fundos futuros: “Nós pausamos todos os cofres para evitar que quaisquer fundos futuros sejam colocados em risco, por favor, retire todos os seus fundos imediatamente.

De acordo com os dados do Blockchain Explorer do Fantom (FTM), o Grim Finance Exploiter continuou negociando em 19 de dezembro. Um dos endereços associados ao exploit detém $ 1,2 milhão em Bitcoin (BTC), $ 1,7 milhão em SpookyToken (BOO) ao lado de $ 13.700 em tokens FTM.

O hacker utilizou um ataque de reentrância; é uma invasão que permite que alguém acrescente depósitos adicionais em um vault enquanto uma transação inicial ainda está sendo processada, enganando, assim, o protocolo.

“Contatamos e notificamos Circle (USDC), DAI e AnySwap em relação ao endereço do invasor para possivelmente congelar quaisquer outras transferências de fundos”, tuitou Grim, mas o invasor já estava ocupado lavando os fundos roubados por meio de transferências em stablecoins.

Rugdoc.io, um grupo de supervisão DeFi de auditores de contratos autônomos e investidores, afirmou que Grim Finance deveria ter pensado melhor e usado uma proteção de reentrância.

“Felizmente, todos os projetos podem aprender lições com esse incidente que existe muito conhecimento que desenvolvedores especialistas em Solidity têm em mãos”, tuitou.

“Se você ainda não adquiriu isso [conhecimento], não desenvolva projetos multimilionários. Não realize auditorias de empresas que todos sabem que são inúteis.”

No domingo à tarde (19), todos os depósitos nos vaults do Grim Finance permaneciam pausados para evitar ainda mais roubos.