Euler Finance мае пасланы строгае папярэджанне хакеру, які скраў 200 мільёнаў долараў сродкаў карыстальнікаў, выкарыстоўваючы атакі флэш-пазыкі на пратакол. Каманда Euler Finance абвясціла, што гатова выставіць хакеру ўзнагароду ў памеры 1 мільёна долараў за любую інфармацыю, якая прывядзе да арышту зламысніка і вяртання сродкаў законным уладальнікам.
Аб'ява з'явілася пасля таго, як Euler Finance была скарыстана на 197 мільёнаў долараў у stETH, wstETH, WBTC, USDC, DAI і WETH. Пасля выхаду хакера ў пратаколе засталося вельмі мала токенаў. Адным з першапачатковых сігналаў стаў рэзкі ўсплёск аб'ёму запазычанняў на працягу гадзіны ў пратаколе Эйлера.
1/10 Нядаўняя эксплуатацыя пратакола Эйлера прывяла да страты stETH, wstETH, WBTC, USDC, DAI і WETH на суму 197 мільёнаў долараў. Давайце разгледзім першапачатковыя чырвоныя сцягі эксплойта і тое, як ён быў выкананы з дапамогай радара рызыкі для Эйлера: https://t.co/rO5rRIU2Rm #EulerFinance
- IntoTheBlock (@intotheblock) Сакавік 13, 2023
Хакер выкарыстаў функцыю «DonateToReserves()», каб наўмысна пакласці свае пазіцыі пад ваду, што дазволіла ім ліквідаваць свае пазіцыі. Паступаючы такім чынам, хакер змог завалодаць закладам і ліквідацыйным бонусам, што прывяло да значнай выгады для зламысніка.
Усе ўзломы адбываліся ў адным блоку, што ўскладняла прафілактыку эксплойта, бо не было часу для ўкаранення контрмер. Тым не менш, адным з патэнцыйных рашэнняў для будучых нападаў падобнага характару з'яўляецца выкарыстанне ботаў Miner Extractable Value (MEV), якія здольныя выяўляць і прадухіляць шкоднасныя транзакцыі ў рэжыме рэальнага часу.
З усіх токенаў тыпу закладу на Euler толькі USDT і cbETH не былі накіраваны. Здаецца, гэта звязана з нізкай ліквіднасцю ў ланцужку. У cbETH ёсць некалькі меншых пулаў, размеркаваных па пратаколах, і асноўны пул USDT (3 пулы на крывой) вычарпаў большую частку свайго USDT з-за панікі USDC на выходных.
Пасля атакі хакер пагасіў іх флэш-пазыкі ад Aave v2 і Balancer і абмяняў усе канфіскаваныя актывы на ETH і DAI. Своп з stETH на ETH быў дастаткова вялікім, каб павялічыць структуру ліквіднасці пула stETH Curve амаль на 5%.
Крыніца: https://u.today/euler-finance-sends-terrifying-ultimatum-to-hacker-who-stole-200-million