Protocolul de creditare cu finanțare descentralizată (DeFi) Euler Finance a devenit victima unui atac de împrumut rapid pe 13 martie, ceea ce a dus la cel mai mare hack de cripto în 2023 până acum. Protocolul de împrumut a pierdut aproape 197 de milioane de dolari în atac și a afectat și peste 11 alte protocoale DeFi.
Pe 14 martie, Euler a publicat o actualizare a situației și și-a anunțat utilizatorii că au dezactivat modulul vulnerabil Etoken pentru a bloca depozitele și funcția de donație vulnerabilă.
Firma a spus că lucrează cu diverse grupuri de securitate pentru a efectua audituri ale protocolului său, iar codul vulnerabil a fost revizuit și aprobat în timpul unui audit extern. Vulnerabilitatea nu a fost descoperită în cadrul auditului.
Unul dintre partenerii noștri de audit, @Omniscia_sec, a pregătit un post-mortem tehnic și a analizat atentatul în detaliu. Puteți citi raportul lor aici: https://t.co/u4Z2xdutwe
Pe scurt, atacatorul a exploatat cod vulnerabil care i-a permis să creeze o datorie cu simbol neacoperit... https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) Martie 14, 2023
Vulnerabilitatea a rămas în lanț timp de opt luni până când a fost exploatată, în ciuda faptului că o recompensă pentru erori de 1 milion de dolari a fost în vigoare în acea perioadă.
Sherlock, un grup de audit care a colaborat cu Euler Finance în trecut, a verificat cauza principală a exploit-ului și l-a ajutat pe Euler să depună o reclamație. Protocolul de audit a organizat ulterior un vot asupra cererii de 4.5 milioane de dolari, care a fost adoptată și ulterior a executat o plată de 3.3 milioane de dolari pe 14 martie.
Grupul de audit, în raportul său de analiză, a remarcat că un factor major pentru exploatare a fost o verificare a stării lipsă în donateToReserves(), o nouă funcție adăugată în EIP-14. Cu toate acestea, protocolul a subliniat că atacul era încă posibil din punct de vedere tehnic chiar înainte de existența EIP-14.
Înrudit: Peste 280 de blockchain-uri riscă exploatări „zero-day”, avertizează firma de securitate
Sherlock a remarcat că auditul Euler realizat de WatchPug din iulie 2022 a ratat vulnerabilitatea critică care a dus în cele din urmă la exploatare în martie 2023.
În mod similar, Sherlock stă în spatele fiecărui auditor care l-a analizat pe Euler.
Sherlock a lucrat inițial cu @cmichelio pentru a audita prima versiune a lui Euler în decembrie 2021, apoi cu @shw9453 pentru a audita o actualizare foarte mică în ianuarie 2022 și, în sfârșit, cu @WatchPug_ să auditeze EIP-14 în iulie 2022.
— SHERLOCK (@sherlockdefi) Martie 13, 2023
Euler a contactat, de asemenea, firme de top de securitate analitică și blockchain, cum ar fi TRM Labs, Chainalysis și comunitatea mai largă de securitate ETH, în încercarea de a le ajuta cu investigația și recuperarea fondurilor.
Euler a anunțat că încearcă să-i contacteze și pe cei responsabili de atac pentru a afla mai multe despre problemă și, eventual, a negocia o recompensă pentru a recupera fondurile furate.
Sursa: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds