Протокол кредитування децентралізованого фінансування (DeFi) Euler Finance став жертвою атаки флеш-позики 13 березня, що призвело до найбільшого зламу криптовалюти в 2023 році. Протокол кредитування втратив майже 197 мільйонів доларів під час атаки, а також вплинув на понад 11 інших протоколів DeFi.
14 березня Euler оприлюднив оновлену інформацію про ситуацію та повідомив своїх користувачів, що вони вимкнули вразливий модуль Etoken для блокування депозитів і вразливої функції пожертвувань.
Фірма заявила, що вони співпрацюють з різними групами безпеки для проведення аудиту її протоколу, і вразливий код був розглянутий і затверджений під час зовнішнього аудиту. Уразливість не була виявлена під час аудиту.
Один із наших партнерів з аудиту, @Omniscia_sec, підготували технічний висновок і детально проаналізували напад. Ви можете прочитати їхній звіт тут: https://t.co/u4Z2xdutwe
Коротше кажучи, зловмисник скористався вразливим кодом, який дозволив йому створити незахищений борг токена… https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) Березня 14, 2023
Уразливість залишалася в ланцюжку вісім місяців, поки її не використали, незважаючи на те, що протягом цього часу діяла винагорода за помилки в розмірі 1 мільйон доларів.
Sherlock, аудиторська група, яка працювала з Euler Finance у минулому, перевірила першопричину експлойту та допомогла Euler подати претензію. Пізніше в протоколі аудиту було проведено голосування щодо претензії на суму 4.5 мільйона доларів, яка була прийнята, а 3.3 березня здійснено виплату в розмірі 14 мільйона доларів.
Аудиторська група у своєму аналітичному звіті зазначила, що основним фактором експлойту була відсутність перевірки стану в donateToReserves(), новій функції, доданій в EIP-14. Однак у протоколі підкреслюється, що атака все ще була технічно можлива навіть до існування EIP-14.
За темою: Більше 280 блокчейнів під загрозою експлойтів «нульового дня», попереджає охоронна компанія
Шерлок зазначив, що аудит Euler, проведений WatchPug у липні 2022 року, не виявив критичної вразливості, яка зрештою призвела до експлойту в березні 2023 року.
Так само Шерлок підтримує кожного аудитора, який перевіряв Ейлера.
Шерлок спочатку працював з @cmichelio для аудиту першої версії Euler у грудні 2021 року, потім с @shw9453 перевірити дуже невелике оновлення в січні 2022 р. і, нарешті, с @WatchPug_ провести аудит EIP-14 у липні 2022 року.
— ШЕРЛОК (@sherlockdefi) Березня 13, 2023
Euler також звернувся до провідних аналітичних аналітичних компаній і фірм безпеки блокчейну, таких як TRM Labs, Chainalysis і ширшої спільноти безпеки ETH, щоб допомогти їм у розслідуванні та повернути кошти.
Ейлер повідомив, що вони також намагаються зв’язатися з відповідальними за атаку, щоб дізнатися більше про проблему та, можливо, домовитися про винагороду для повернення вкрадених коштів.
Джерело: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds