פרוטוקול ה-DeFi (כלכלה מבוזרת), Grim Finance, נפרץ ביום שבת האחרון ומטבעות דיגיטליים בשווי כ-30 מיליון דולר נגנבו. על פי שרשור הודעות מחשבון הטוויטר של הפרויקט, זו הייתה "מתקפה מתקדמת" וכל הכספים אשר מופקדים בפרוטוקול נמצאים בסכנה.
אתמול (א') כל ההפקדות לפרויקט הופסקו כדי למנוע מכספים נוספים להיגנב, וכל המשתמשים התבקשו למשוך את כספיהם במהרה. בנוסף, חברי הפרויקט פנו אל Circle (העומדת מאחורי המטבע היציב USDC), פרוטוקול AnySwap ו-DAI בתקווה שאלו יוכלו להקפיא חלק מהכספים של התוקף, אך נראה שזה כבר היה מאוחר מדיי.
פרויקט Grim Finance מבטיח להביא תשואה נוספת לספקי נזילות אשר מפקידים את הטוקנים (LP tokens) שלהם ב"כספות" של הפרוטוקול. הפרוטוקול בנוי על גבי הבלוקצ'יין Fantom Opera לחוזים חכמים, המשתמש בשפת התכנות Solidity כמו ברשת אתריום.
הפריצה
ההאקר השתמש במתקפה המדמה הפקדות נוספות אל "כספות" הפרוטוקול בזמן שטרנזקציה אחרת עוד לא הסתיימה. כך הצליח ההאקר להכניס חוזה זדוני אל הפרוטוקול אשר איפשר לו למשוך יותר כספים מאשר הפקיד.
פלטפורמת האבטחה Rugdog.io, הכותבת ביקורות על פרויקטים של DeFi במטרה להעלות את רמת האבטחה של הפרוטוקולים, כתבה בחשבון הטוויטר שלה על הפריצה. לפי Rugdoc.io, הפרוטוקול של Grim מאפשר למשתמשים "יותר פריבילגיות מהנדרש", וזו טעות גדולה לאפשר הפקדות נוספות בזמן שהפקדה קיימת עדיין לא הושלמה.
"מקווים שכל הפרויקטים יכולים להסיק מסקנות מהמקרה הזה – שיש הרבה ידע הנמצא בהישג יד של רוב מפתחי ה-Solidity המנוסים. אם עוד לא רכשתם את הידע הזה, אל תבנו פרויקטים של מיליוני דולרים. אל תקבלו דו"חות ביקורת מחברות שכולם יודעים שהן חסרות תועלת," כתבו בטוויטר והתייחסו אל הדו"ח שבוצע על ידי Solidity Finance.
המערב הפרוע של ה-DeFi
חברת Solidity Finance מיהרה להגיב לאירוע בניסיון להצדיק את שגיאתה. בשרשור הודעות בחשבון הטוויטר שלה, החברה כתבה כי "מנהל הכספים הראשי של החברה היה בחופשה," והחברה הייתה "בעומס רב" בעקבות גדילה והעסקת עובדים חדשים – ולכן לא שמה לב לעניין בזמן פרסום הדו"ח. "אנחנו מחויבים ללמוד מהמקרה הזה כדי לשפר את תהליך הביקורת שלנו ולוודא שסיטואציות דומות לא יתרחשו בעתיד," כתבו.
מקרים כאלה ואחרים ממשיכים להזכיר לנו לפעול במשנה זהירות בכל הנוגע ל-"כלכלה המבוזרת", ולא להסתמך על דו"חות חיצוניים מחברות לא מוכרות. כפי שראינו בהונאה של המטבע SQUID, כל אחד יכול לרכוש דו"ח חיצוני ולקבל ביקורת חיובית. עם הזמן, יש לקוות, הפרויקטים יפעלו לפי סטנדרטים גבוהים הרבה יותר ויהיה קל יותר להבחין בין פרויקטים אמינים ברמה גבוהה לפרויקטים אחרים.