Protokol pozajmljivanja decentraliziranih financija (DeFi) Euler Finance postao je žrtva napada brzih zajmova 13. ožujka, što je rezultiralo najvećim hakiranjem kriptovalute u 2023. do sada. Protokol posudbe izgubio je gotovo 197 milijuna dolara u napadu i utjecao je na više od 11 drugih DeFi protokola.
Dana 14. ožujka Euler je objavio najnovije informacije o situaciji i obavijestio svoje korisnike da su onemogućili ranjivi modul Etoken za blokiranje depozita i ranjivu funkciju donacija.
Tvrtka je rekla da surađuju s različitim sigurnosnim skupinama kako bi izvršile revizije njezinog protokola, a ranjivi kod je pregledan i odobren tijekom vanjske revizije. Ranjivost nije otkrivena u sklopu revizije.
Jedan od naših partnera u reviziji, @Omniscia_sec, izradili su tehnički obdukciju i vrlo detaljno analizirali napad. Njihovo izvješće možete pročitati ovdje: https://t.co/u4Z2xdutwe
Ukratko, napadač je iskoristio ranjivi kod koji mu je omogućio stvaranje nepokrivenog tokena duga… https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) Ožujak 14, 2023
Ranjivost je ostala na lancu osam mjeseci dok nije iskorištena, unatoč nagradi za bugove od milijun dolara koja je tijekom tog vremena bila na snazi.
Sherlock, revizorska skupina koja je u prošlosti surađivala s Euler Financeom, potvrdila je temeljni uzrok iskorištavanja i pomogla Euleru da podnese zahtjev. Protokol revizije kasnije je održao glasovanje o zahtjevu za 4.5 milijuna dolara, koji je usvojen i kasnije izvršena isplata od 3.3 milijuna dolara 14. ožujka.
Revizorska skupina je u svom izvješću o analizi primijetila da je glavni čimbenik iskorištavanja nedostatak provjere stanja u donateToReserves(), novoj funkciji dodanoj u EIP-14. Međutim, protokol je naglasio da je napad još uvijek bio tehnički moguć čak i prije postojanja EIP-14.
Povezano: Više od 280 blockchaina u opasnosti od iskorištavanja 'nultog dana', upozorava sigurnosna tvrtka
Sherlock je primijetio da je Eulerova revizija koju je proveo WatchPug u srpnju 2022. propustila kritičnu ranjivost koja je na kraju dovela do iskorištavanja u ožujku 2023.
Slično tome, Sherlock stoji iza svakog revizora koji je recenzirao Eulera.
Sherlock je u početku radio s @cmichelio za reviziju prve verzije Eulera u prosincu 2021., a zatim s @shw9453 za reviziju vrlo malog ažuriranja u siječnju 2022. i konačno sa @WatchPug_ za reviziju EIP-14 u srpnju 2022.
— SHERLOCK (@sherlockdefi) Ožujak 13, 2023
Euler se također obratio vodećim tvrtkama za on-chain analitiku i blockchain sigurnost, kao što su TRM Labs, Chainalysis i šira zajednica sigurnosti ETH-a, u pokušaju da im pomogne u istrazi i povratu sredstava.
Euler je obavijestio da također pokušavaju kontaktirati odgovorne za napad kako bi saznali više o problemu i eventualno pregovarali o nagradi za povrat ukradenih sredstava.
Izvor: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds