Пратакол крэдытавання дэцэнтралізаванага фінансавання (DeFi) Euler Finance 13 сакавіка стаў ахвярай атакі хуткай пазыкі, што прывяло да найбуйнейшага ўзлому крыптаграфіі ў 2023 годзе. Пратакол крэдытавання страціў амаль 197 мільёнаў долараў у выніку атакі і таксама паўплываў на больш чым 11 іншых пратаколаў DeFi.
14 сакавіка кампанія Euler апублікавала абноўленую інфармацыю аб сітуацыі і паведаміла сваім карыстальнікам, што яны адключылі ўразлівы модуль Etoken для блакіроўкі дэпазітаў і ўразлівую функцыю ахвяраванняў.
Фірма заявіла, што яны супрацоўнічаюць з рознымі групамі бяспекі для правядзення аўдыту пратакола, і ўразлівы код быў разгледжаны і зацверджаны падчас вонкавага аўдыту. Уразлівасць не была выяўлена падчас аўдыту.
Адзін з нашых партнёраў па аўдыту, @Omniscia_sec, падрыхтаваў тэхнічны пасмяротны аналіз і вельмі падрабязна прааналізаваў атаку. Вы можаце прачытаць іх справаздачу тут: https://t.co/u4Z2xdutwe
Карацей кажучы, зламыснік выкарыстаў уразлівы код, які дазволіў яму стварыць незабяспечаны токен доўгу… https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) Сакавік 14, 2023
Уразлівасць заставалася ў ланцужку на працягу васьмі месяцаў, пакуль яе не выкарысталі, нягледзячы на тое, што ў гэты час дзейнічала ўзнагарода за памылку ў 1 мільён долараў.
Sherlock, аўдытарская група, якая працавала з Euler Finance у мінулым, пацвердзіла асноўную прычыну эксплойта і дапамагла Euler падаць прэтэнзію. Пазней у пратаколе аўдыту было праведзена галасаванне па прэтэнзіі на суму 4.5 мільёна долараў, якая была прынята і пазней выканана выплата ў памеры 3.3 мільёна долараў 14 сакавіка.
Аўдытарская група ў сваёй аналітычнай справаздачы адзначыла, што галоўным фактарам эксплойта была адсутнасць праверкі стану ў donateToReserves(), новай функцыі, дададзенай у EIP-14. Аднак у пратаколе падкрэслівалася, што атака была тэхнічна магчымая нават да існавання EIP-14.
Па тэме: Больш за 280 блокчейнов знаходзяцца пад пагрозай эксплойтаў «нулявога дня», папярэджвае ахоўная фірма
Шэрлак адзначыў, што аўдыт Эйлера, праведзены WatchPug у ліпені 2022 года, не выявіў крытычную ўразлівасць, якая ў выніку прывяла да эксплойта ў сакавіку 2023 года.
Сапраўды гэтак жа Шэрлак стаіць за кожным аўдытарам, які правяраў Эйлера.
Шэрлак першапачаткова працаваў з @cmichelio для праверкі першай версіі Euler у снежні 2021 г., затым з @shw9453 для праверкі вельмі невялікага абнаўлення ў студзені 2022 г. і, нарэшце, з @WatchPug_ правесці аўдыт EIP-14 у ліпені 2022 г.
— ШЭРЛАК (@sherlockdefi) Сакавік 13, 2023
Эйлер таксама звярнуўся да вядучых аналітычных і блокчейн-ахоўных фірмаў, такіх як TRM Labs, Chainalysis і больш шырокае супольнасць бяспекі ETH, у спробе дапамагчы ім у расследаванні і вярнуць сродкі.
Эйлер паведаміў, што яны таксама спрабуюць звязацца з асобамі, адказнымі за напад, каб даведацца больш аб праблеме і, магчыма, дамовіцца аб ўзнагароджанні за вяртанне скрадзеных сродкаў.
Крыніца: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds