Protokol půjčování decentralizovaných financí (DeFi) Společnost Euler Finance se 13. března stala obětí bleskového úvěrového útoku, jehož výsledkem byl dosud největší hack kryptoměn v roce 2023. Půjčovací protokol ztratil při útoku téměř 197 milionů dolarů a zasáhl také více než 11 dalších protokolů DeFi.
14. března Euler přišel s aktualizací situace a informoval své uživatele, že deaktivovali zranitelný modul Etoken, aby zablokovali vklady a funkci zranitelného dárcovství.
Firma uvedla, že spolupracuje s různými bezpečnostními skupinami na provádění auditů jejího protokolu a zranitelný kód byl zkontrolován a schválen během externího auditu. Chyba zabezpečení nebyla v rámci auditu objevena.
Jeden z našich auditorských partnerů, @Omniscia_sec, připravil technickou pitvu a útok velmi podrobně rozebral. Jejich zprávu si můžete přečíst zde: https://t.co/u4Z2xdutwe
Stručně řečeno, útočník zneužil zranitelný kód, který mu umožnil vytvořit nekrytý tokenový dluh… https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) 14. března 2023
Chyba zůstala v řetězci osm měsíců, dokud nebyla zneužita, a to i přes odměnu za chyby ve výši 1 milion dolarů během této doby.
Sherlock, auditní skupina, která v minulosti spolupracovala s Euler Finance, ověřila hlavní příčinu zneužití a pomohla společnosti Euler podat žádost. Auditní protokol později hlasoval o nároku na 4.5 milionu dolarů, který byl schválen a později 3.3. března provedl výplatu 14 milionu dolarů.
Auditorská skupina ve své analytické zprávě uvedla, že hlavním faktorem zneužití byla chybějící kontrola stavu v donateToReserves(), nové funkci přidané v EIP-14. Protokol však zdůrazňoval, že útok byl stále technicky možný i před existencí EIP-14.
Související: Více než 280 blockchainů je ohroženo zneužitím „zero-day“, varuje bezpečnostní firma
Sherlock poznamenal, že audit společnosti Euler provedený WatchPug v červenci 2022 postrádal kritickou zranitelnost, která nakonec vedla k zneužití v březnu 2023.
Podobně Sherlock stojí za každým auditorem, který recenzoval Eulera.
Sherlock zpočátku spolupracoval @cmichelio auditovat první verzi Euler v prosinci 2021, poté s @shw9453 provést audit velmi malé aktualizace v lednu 2022 a nakonec s @WatchPug_ v červenci 14 provést audit EIP-2022.
— SHERLOCK (@sherlockdefi) 13. března 2023
Euler také oslovil přední analytické a blockchainové bezpečnostní firmy, jako jsou TRM Labs, Chainalysis a širší bezpečnostní komunita ETH, ve snaze pomoci jim s vyšetřováním a získat zpět finanční prostředky.
Euler oznámil, že se také snaží kontaktovat osoby odpovědné za útok, aby se o problému dozvěděli více a případně vyjednali odměnu za získání ukradených finančních prostředků.
Zdroj: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds