- Эксплуататар Ronin Bridge атрымаў 100 Ethereum (ETH) на суму 170,468 XNUMX долараў ад эксплуататара Euler Financial.
- Tornado Cash, добра вядомы механізм змешвання, быў выкарыстаны зламыснікам у Euler Finance, каб замаскіраваць сваю дзейнасць.
Перш чым на яе напалі на 196 мільёнаў долараў, Euler Finance, сістэма крэдытавання на аснове Ethereum, была ацэненая як «нічога большага, чым нізкі рызыка» ў дзесяці незалежных аўдытах, якія праводзіліся на працягу двух гадоў.
Пасля нападу Эйлера на тэрміновую пазыку ў 196 мільёнаў долараў 13 сакавіка генеральны дырэктар Euler Labs Майкл Бэнтлі 17 сакавіка напісаў у серыі твітаў пра «самыя цяжкія дні» свайго жыцця.
Ён зрабіў рэтвіт Карыстальнік, які падзяліўся інфармацыяй аб тым, што Эйлер атрымаў 10 аўдытаў ад шасці розных фірмаў, заявіўшы, што платформа «заўсёды была ініцыятывай, арыентаванай на бяспеку», і дадаўшы, што ён зрабіў рэтвіт гэтай асобы.
Смарт-кантракт Euler Financial быў правераны кампаніямі па бяспецы блокчейна Halborn, Solidified, ZK Labs, Certora, Sherlock і Omnisica ў перыяд з мая 2021 года па верасень 2022 года.
Акрамя таго, 17 сакавіка эксплуататар Ronin Bridge атрымаў 100 Ethereum (ETH) ад эксплуататара Euler Financial на суму 170,468 XNUMX долараў. Lookonchain, дапыталі ці была перадача ненаўмыснай, ці яна прадэманстравала, што два хакеры былі адной асобай.
Уздзеянне, якое яно аказвае
Разлічыўшы «верагоднасць інцыдэнту з бяспекай» і патэнцыйнае ўздзеянне, Halborn ацаніў сваю ацэнку рызыкі, прычым узровень рызыкі вар'іраваўся ад вельмі нізкага і інфармацыйнага да крытычнага. «Нічога вышэйшага за нізкі рызыка» не было дадзена Эйлеру.
У рэзюмэ аўдыту Halborn ад снежня 2022 года гаворыцца, што ён даў «у цэлым здавальняючы вынік».
Паводле справаздачы, Халборн «агледзеў і вывучыў» 23 смарт-кантракты на працягу месяца, але былі знойдзены толькі «два нізкія рызыкі і тры інфармацыйныя» рызыкі.
Пасля агляду страхоўкі Хэлбарна Ойлер сцвярджаў, што прыйшоў да высновы, што рызыкі «не ўяўляюць сур'ёзнай пагрозы».
Хадзілі чуткі, што вядомая паўночнакарэйская хакерская група Lazarus, якая мела дачыненне да атакі на мост Ронін, таксама нясе адказнасць за эксплойт Euler Financial.
Тым не менш, здзелка не прапануе канкрэтных доказаў адносін бакоў. Зламыснік на Euler Finance спрабаваў схаваць свае транзакцыі з дапамогай Tornado Cash, прызнанага механізму змешвання. Таксама зламыснік адправіў адной з ахвяр эксплойта 100 ETH.
Што далей?
Літаральна за 24 гадзіны да прэміі Эйлер папярэдзіў, што калі 90% сродкаў не будуць вернутыя за гэты час, будзе запушчана выплата, «якая прывядзе да вашага арышту і вяртання ўсіх сродкаў».
Акрамя гэтага, кампанія па бяспецы блокчейна Omnisica выправіла розныя «няправільныя канцэпцыі» і тое, як рэжым падпампоўкі «кіраваўся кодавай базай» у асноўнай рэалізацыі праграмы падпампоўкі Эйлера.
Даследаванне сцвярджала, што Эйлер «цалкам справіўся» з гэтымі праблемамі і што на дадзены момант «ніякіх асаблівых цяжкасцяў» не было.
Крыніца: https://ambcrypto.com/euler-finance-hack-everything-latest-that-you-need-to-know/