Decentralizuoto finansavimo (DeFi) skolinimo protokolas „Euler Finance“ tapo greitos paskolos atakos auka kovo 13 d., dėl kurios iki šiol buvo įvykdytas didžiausias kriptovaliutų įsilaužimas 2023 m. Skolinimo protokolas per ataką prarado beveik 197 milijonus dolerių ir paveikė daugiau nei 11 kitų DeFi protokolų.
Kovo 14 d. „Euler“ išleido informaciją apie situaciją ir pranešė savo vartotojams, kad jie išjungė pažeidžiamą „Etoken“ modulį, kad blokuotų indėlius ir pažeidžiamų donorystės funkciją.
Įmonė teigė, kad dirba su įvairiomis saugos grupėmis, kad atliktų savo protokolo auditą, o pažeidžiamas kodas buvo peržiūrėtas ir patvirtintas išorės audito metu. Pažeidžiamumas nebuvo aptiktas atliekant auditą.
Vienas iš mūsų audito partnerių, @Omniscia_sec, parengė techninį pomirtinį tyrimą ir labai detaliai išanalizavo išpuolį. Jų ataskaitą galite perskaityti čia: https://t.co/u4Z2xdutwe
Trumpai tariant, užpuolikas išnaudojo pažeidžiamą kodą, kuris leido sukurti nepadengtą žetonų skolą… https://t.co/FGnPqvYUGB
– „Euler Labs“ (@eulerfinance) Kovo 14, 2023
Pažeidžiamumas išliko grandinėje aštuonis mėnesius, kol buvo išnaudotas, nepaisant to, kad tuo metu buvo sumokėta 1 mln.
Sherlock, audito grupė, kuri praeityje dirbo su Euler Finance, patikrino pagrindinę išnaudojimo priežastį ir padėjo Euler pateikti pretenziją. Audito protokole vėliau buvo balsuojama dėl ieškinio dėl 4.5 mln. USD, kuris buvo priimtas ir vėliau kovo 3.3 d.
Audito grupė savo analizės ataskaitoje pažymėjo, kad pagrindinis išnaudojimo veiksnys buvo neatliktas sveikatos patikrinimas programoje donateToReserves (), nauja funkcija, įtraukta į EIP-14. Tačiau protokole pabrėžta, kad ataka buvo techniškai įmanoma dar prieš EIP-14 egzistavimą.
Susiję: daugiau nei 280 blokų grandinių, kurioms gresia „nulinės dienos“ išnaudojimai, perspėja saugos įmonė
Sherlockas pažymėjo, kad 2022 m. liepos mėn. „WatchPug“ atliktas „Euler“ auditas nepastebėjo kritinio pažeidžiamumo, dėl kurio galiausiai buvo atliktas išnaudojimas 2023 m. kovo mėn.
Panašiai Šerlokas stovi už kiekvieną auditorių, kuris peržiūrėjo Euler.
Iš pradžių Šerlokas dirbo su @cmichelio 2021 m. gruodžio mėn. atlikti pirmosios Euler versijos auditą, tada su @shw9453 2022 m. sausio mėn. atlikti labai mažo atnaujinimo auditą ir galiausiai su @WatchPug_ atlikti EIP-14 auditą 2022 m. liepos mėn.
– ŠERLOKAS (@sherlockdefi) Kovo 13, 2023
Euler taip pat susisiekė su pirmaujančiomis grandinės analizės ir blokų grandinės saugumo įmonėmis, tokiomis kaip TRM Labs, Chainalysis ir platesnė ETH saugumo bendruomenė, siekdama padėti joms atlikti tyrimą ir susigrąžinti lėšas.
Euleris pranešė, kad jie taip pat bando susisiekti su atsakingais už išpuolį, kad sužinotų daugiau apie šią problemą ir galbūt susitartų dėl atlygio pavogtoms lėšoms atgauti.
Šaltinis: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds