Protokol pozajmljivanja decentralizovanih finansija (DeFi) Euler Finance postao je žrtva napada na brzu pozajmicu 13. marta, što je rezultiralo najvećim hakom kriptovaluta u 2023. godini do sada. Protokol pozajmljivanja izgubio je skoro 197 miliona dolara u napadu, a uticao je i na više od 11 drugih DeFi protokola.
Dana 14. marta, Euler je izašao s ažuriranjem situacije i obavijestio svoje korisnike da su onemogućili ranjivi Etoken modul za blokiranje depozita i ranjivu funkciju donacija.
Firma je saopštila da rade sa različitim bezbednosnim grupama na vršenju revizije svog protokola, a ranjivi kod je pregledan i odobren tokom spoljne revizije. Ranjivost nije otkrivena u sklopu revizije.
Jedan od naših revizorskih partnera, @Omniscia_sec, pripremio tehničku obdukciju i detaljno analizirao napad. Njihov izvještaj možete pročitati ovdje: https://t.co/u4Z2xdutwe
Ukratko, napadač je iskoristio ranjivi kod koji mu je omogućio da stvori nepodržani token dug… https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) Mart 14, 2023
Ranjivost je ostala na lancu osam mjeseci sve dok nije iskorištena, uprkos tome što je za to vrijeme na snazi bila nagrada od milion dolara.
Sherlock, revizorska grupa koja je u prošlosti radila s Euler Finance, potvrdila je korijenski uzrok eksploatacije i pomogla Euleru da podnese zahtjev. Protokol revizije je kasnije održao glasanje o potraživanju od 4.5 miliona dolara, koje je usvojeno i kasnije izvršeno isplatu od 3.3 miliona dolara 14. marta.
Grupa za reviziju je u svom izvještaju o analizi primijetila da je glavni faktor za eksploataciju nedostajuća provjera zdravlja u donateToReserves(), novoj funkciji dodanoj u EIP-14. Međutim, u protokolu je naglašeno da je napad bio tehnički moguć čak i prije postojanja EIP-14.
Povezano: Više od 280 blockchaina u opasnosti od eksploatacije 'nultog dana', upozorava sigurnosna firma
Sherlock je primijetio da je Eulerova revizija koju je izvršila WatchPug u julu 2022. propustila kritičnu ranjivost koja je na kraju dovela do eksploatacije u martu 2023.
Slično, Sherlock stoji iza svakog revizora koji je pregledao Eulera.
Sherlock je u početku radio sa @cmichelio da izvrši reviziju prve verzije Eulera u decembru 2021. godine, a zatim s @shw9453 da izvrši reviziju vrlo malog ažuriranja u januaru 2022. i konačno sa @WatchPug_ izvršiti reviziju EIP-14 u julu 2022.
— SHERLOCK (@sherlockdefi) Mart 13, 2023
Euler je također posegnuo za vodećim on-chain analitičkim i blockchain sigurnosnim firmama, kao što su TRM Labs, Chainalysis i šira ETH sigurnosna zajednica, u pokušaju da im pomogne u istrazi i povratu sredstava.
Euler je obavijestio da također pokušavaju kontaktirati one koji su odgovorni za napad kako bi saznali više o problemu i eventualno dogovorili nagradu za povrat ukradenih sredstava.
Izvor: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds