A decentralizált finanszírozás (DeFi) hitelezési protokollja Az Euler Finance egy gyorshitel-támadás áldozata lett március 13-án, ami 2023-ban a kriptoval kapcsolatos eddigi legnagyobb feltörést eredményezett. A kölcsönzési protokoll közel 197 millió dollárt veszített a támadás során, és több mint 11 másik DeFi protokollra is hatással volt.
Március 14-én az Euler kiadott egy frissítést a helyzetről, és értesítette felhasználóit, hogy letiltották a sebezhető Etoken modult a betétek és a sebezhető adományozási funkció blokkolása érdekében.
A cég azt mondta, hogy különböző biztonsági csoportokkal dolgoznak együtt a protokolljának auditálása során, és a sebezhető kódot egy külső audit során ellenőrizték és hagyták jóvá. A sérülékenységet nem az ellenőrzés részeként tárták fel.
Egyik könyvvizsgáló partnerünk, @Omniscia_sec, elkészített egy technikai post mortem és részletesen elemezte a támadást. Jelentésüket itt olvashatja: https://t.co/u4Z2xdutwe
Röviden, a támadó sebezhető kódot használt ki, amely lehetővé tette számára, hogy nem támogatott token adósságot hozzon létre… https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) Március 14, 2023
A sérülékenység nyolc hónapig a láncon maradt, amíg ki nem használták, annak ellenére, hogy ezalatt az idő alatt 1 millió dolláros hibadíj járt.
A Sherlock, egy auditcsoport, amely korábban az Euler Finance-szel dolgozott, ellenőrizte a visszaélés kiváltó okát, és segített az Eulernek benyújtani a keresetet. Az ellenőrzési jegyzőkönyv később szavazást tartott a 4.5 millió dolláros követelésről, amelyet elfogadtak, majd március 3.3-én 14 millió dollárt fizettek ki.
Az ellenőrző csoport elemzési jelentésében megjegyezte, hogy a kihasználás egyik fő tényezője a donateToReserves() állapotellenőrzés hiánya volt, amely az EIP-14 új funkciója. A jegyzőkönyv ugyanakkor hangsúlyozta, hogy a támadás technikailag még az EIP-14 létezése előtt is lehetséges volt.
Kapcsolódó: Több mint 280 blokkláncot fenyeget a „nulladik napi” kizsákmányolás – figyelmeztet a biztonsági cég
Sherlock megjegyezte, hogy a WatchPug által 2022 júliusában elvégzett Euler-audit során kimaradt a kritikus sérülékenység, amely végül a 2023. márciusi visszaéléshez vezetett.
Hasonlóképpen, Sherlock minden könyvvizsgáló mögött áll, aki felülvizsgálta Eulert.
Sherlock kezdetben együtt dolgozott @cmichelio az Euler első verziójának auditálására 2021 decemberében, majd együtt @shw9453 egy nagyon kis frissítés ellenőrzésére 2022 januárjában, és végül a @WatchPug_ az EIP-14 ellenőrzésére 2022 júliusában.
— SHERLOCK (@sherlockdefi) Március 13, 2023
Az Euler emellett felvette a kapcsolatot vezető láncon belüli elemző és blokklánc-biztonsági cégekkel, mint például a TRM Labs, a Chainalysis és a szélesebb ETH biztonsági közösség, hogy segítse őket a nyomozásban és az alapok visszaszerzésében.
Euler arról tájékoztatott, hogy megpróbálják felvenni a kapcsolatot a támadásért felelős személyekkel is, hogy többet megtudjanak a témáról, és esetleg tárgyalásokat folytassanak az ellopott pénzek visszaszerzéséért.
Forrás: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds