Протоколът за кредитиране на децентрализирано финансиране (DeFi) Euler Finance стана жертва на атака за флаш заем на 13 март, което доведе до най-голямото хакване на крипто през 2023 г. досега. Протоколът за кредитиране загуби близо 197 милиона долара при атаката и също така засегна повече от 11 други DeFi протокола.
На 14 март Euler излезе с актуална информация за ситуацията и уведоми своите потребители, че са деактивирали уязвимия модул Etoken, за да блокират депозити и функцията за уязвими дарения.
Фирмата каза, че работят с различни групи за сигурност, за да извършват одити на нейния протокол, а уязвимият код е прегледан и одобрен по време на външен одит. Уязвимостта не беше открита като част от одита.
Един от нашите партньори в одита, @Omniscia_sec, изготвиха техническа аутопсия и анализираха нападението много подробно. Можете да прочетете техния доклад тук: https://t.co/u4Z2xdutwe
Накратко, атакуващият се е възползвал от уязвим код, който му е позволил да създаде необезпечен токен дълг… https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) Март 14, 2023
Уязвимостта остана във веригата в продължение на осем месеца, докато не беше експлоатирана, въпреки че през това време беше наложена награда от 1 милион долара за грешки.
Sherlock, одитна група, която е работила с Euler Finance в миналото, провери основната причина за експлойта и помогна на Euler да подаде иск. По-късно одитният протокол проведе гласуване на иска за 4.5 милиона долара, който беше приет и по-късно изпълни изплащане на 3.3 милиона долара на 14 март.
Одитната група в своя доклад за анализ отбеляза, че основен фактор за експлоатацията е липсващата проверка на състоянието в donateToReserves(), нова функция, добавена в EIP-14. Въпреки това протоколът подчертава, че атаката все още е технически възможна дори преди съществуването на EIP-14.
Свързани: Повече от 280 блокчейна са изложени на риск от експлойти от „нулев ден“, предупреждава фирмата за сигурност
Шерлок отбеляза, че одитът на Euler от WatchPug през юли 2022 г. е пропуснал критичната уязвимост, която в крайна сметка е довела до експлойта през март 2023 г.
По подобен начин Шерлок стои зад всеки одитор, прегледал Ойлер.
Шерлок първоначално работи с @cmichelio за одит на първата версия на Euler през декември 2021 г., след което с @ shw9453 за одит на много малка актуализация през януари 2022 г. и накрая с @WatchPug_ за одит на EIP-14 през юли 2022 г.
— ШЕРЛОК (@sherlockdefi) Март 13, 2023
Euler също така се свърза с водещи фирми за анализ на веригата и блокчейн сигурност, като TRM Labs, Chainalysis и по-широката общност за сигурност на ETH, в опит да им помогне с разследването и възстановяването на средствата.
Euler уведоми, че те също се опитват да се свържат с отговорните за атаката, за да научат повече за проблема и евентуално да договорят премия за възстановяване на откраднатите средства.
Източник: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds