Utlånsprotokoll for desentralisert finans (DeFi) Euler Finance ble et offer for et flashlånsangrep 13. mars, noe som resulterte i det største hacket av krypto i 2023 så langt. Utlånsprotokollen tapte nesten 197 millioner dollar i angrepet og påvirket også mer enn 11 andre DeFi-protokoller.
Den 14. mars kom Euler ut med en oppdatering om situasjonen og varslet brukerne om at de hadde deaktivert den sårbare Etoken-modulen for å blokkere innskudd og den sårbare donasjonsfunksjonen.
Firmaet sa at de jobber med ulike sikkerhetsgrupper for å utføre revisjoner av protokollen, og den sårbare koden ble gjennomgått og godkjent under en ekstern revisjon. Sårbarheten ble ikke oppdaget som en del av tilsynet.
En av våre revisjonspartnere, @Omniscia_sec, forberedte en teknisk obduksjon og analyserte angrepet i detalj. Du kan lese rapporten deres her: https://t.co/u4Z2xdutwe
Kort sagt, angriperen utnyttet sårbar kode som tillot den å opprette en ustøttet token-gjeld ... https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) Mars 14, 2023
Sårbarheten forble på kjeden i åtte måneder inntil den ble utnyttet, til tross for at en feilpremie på 1 million dollar var på plass i løpet av den tiden.
Sherlock, en revisjonsgruppe som har jobbet med Euler Finance tidligere, bekreftet årsaken til utnyttelsen og hjalp Euler med å sende inn et krav. Revisjonsprotokollen holdt senere en avstemning om kravet på 4.5 millioner dollar, som ble vedtatt og senere utførte en utbetaling på 3.3 millioner dollar 14. mars.
Tilsynsgruppen bemerket i sin analyserapport at en viktig faktor for utnyttelsen var en manglende helsesjekk i donateToReserves(), en ny funksjon lagt til i EIP-14. Protokollen understreket imidlertid at angrepet fortsatt var teknisk mulig selv før eksistensen av EIP-14.
Relatert: Mer enn 280 blokkjeder i fare for "nulldagers" utnyttelser, advarer sikkerhetsfirmaet
Sherlock bemerket at Euler-revisjonen av WatchPug i juli 2022 savnet den kritiske sårbarheten som til slutt førte til utnyttelsen i mars 2023.
På samme måte står Sherlock bak hver revisor som har vurdert Euler.
Sherlock jobbet først med @cmichelio å revidere den første versjonen av Euler i desember 2021, deretter med @shw9453 å revidere en veldig liten oppdatering i januar 2022, og til slutt med @WatchPug_ å revidere EIP-14 i juli 2022.
— SHERLOCK (@sherlockdefi) Mars 13, 2023
Euler har også kontaktet ledende analyse- og blokkjede-sikkerhetsfirmaer på kjeden, som TRM Labs, Chainalysis og det bredere ETH-sikkerhetsfellesskapet, i et forsøk på å hjelpe dem med etterforskningen og få tilbake midlene.
Euler varslet at de også prøver å kontakte de ansvarlige for angrepet for å lære mer om problemet og muligens forhandle en dusør for å få tilbake de stjålne midlene.
Kilde: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds