Protokol o požičiavaní decentralizovaných financií (DeFi) Euler Finance sa 13. marca stal obeťou bleskového úverového útoku, ktorý viedol k doteraz najväčšiemu hacknutiu kryptomien v roku 2023. Protokol požičiavania stratil pri útoku takmer 197 miliónov dolárov a ovplyvnil aj viac ako 11 ďalších protokolov DeFi.
14. marca Euler prišiel s aktualizáciou situácie a oznámil svojim používateľom, že deaktivovali zraniteľný modul Etoken, aby blokovali vklady a funkciu zraniteľného darovania.
Firma uviedla, že spolupracuje s rôznymi bezpečnostnými skupinami pri vykonávaní auditov jej protokolu a zraniteľný kód bol skontrolovaný a schválený počas externého auditu. Zraniteľnosť nebola odhalená v rámci auditu.
Jeden z našich audítorských partnerov, @Omniscia_sec, pripravil technickú pitvu a veľmi podrobne rozobral útok. Ich správu si môžete prečítať tu: https://t.co/u4Z2xdutwe
Stručne povedané, útočník zneužil zraniteľný kód, ktorý mu umožnil vytvoriť nezabezpečený tokenový dlh… https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) March 14, 2023
Zraniteľnosť zostala v reťazci osem mesiacov, kým nebola zneužitá, a to aj napriek tomu, že v tom čase bola vyplatená odmena za chyby vo výške 1 milión dolárov.
Sherlock, audítorská skupina, ktorá v minulosti spolupracovala so spoločnosťou Euler Finance, overila hlavnú príčinu zneužitia a pomohla spoločnosti Euler podať žiadosť. V protokole o audite sa neskôr hlasovalo o pohľadávke vo výške 4.5 milióna dolárov, ktorá bola schválená a neskôr bola 3.3. marca vykonaná výplata 14 milióna dolárov.
Audítorská skupina vo svojej analytickej správe uviedla, že hlavným faktorom zneužitia bola chýbajúca kontrola stavu v donateToReserves(), novej funkcii pridanej v EIP-14. Protokol však zdôraznil, že útok bol stále technicky možný aj pred existenciou EIP-14.
Súvisiace: Viac ako 280 blockchainov je vystavených riziku „zero-day“ exploitov, varuje bezpečnostná firma
Sherlock poznamenal, že audit spoločnosti Euler vykonaný spoločnosťou WatchPug v júli 2022 prehliadol kritickú zraniteľnosť, ktorá nakoniec viedla k zneužitiu v marci 2023.
Podobne Sherlock stojí za každým audítorom, ktorý recenzoval Eulera.
Sherlock spočiatku spolupracoval s @cmichelio vykonať audit prvej verzie Euler v decembri 2021, potom s @shw9453 vykonať audit veľmi malej aktualizácie v januári 2022 a nakoniec s @WatchPug_ vykonať audit EIP-14 v júli 2022.
— SHERLOCK (@sherlockdefi) March 13, 2023
Spoločnosť Euler sa tiež obrátila na popredné spoločnosti zaoberajúce sa analýzou a blockchainovou bezpečnosťou, ako sú TRM Labs, Chainalysis a širšia bezpečnostná komunita ETH, v snahe pomôcť im s vyšetrovaním a získať späť finančné prostriedky.
Euler oznámil, že sa tiež pokúšajú kontaktovať tých, ktorí sú zodpovední za útok, aby sa dozvedeli viac o probléme a prípadne vyjednali odmenu na získanie ukradnutých prostriedkov.
Zdroj: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds