Protokół pożyczkowy zdecentralizowanych finansów (DeFi) Euler Finance stał się ofiarą ataku typu flash-pożyczka 13 marca, co doprowadziło do największego jak dotąd włamania do kryptowalut w 2023 roku. Protokół pożyczkowy stracił prawie 197 milionów dolarów w wyniku ataku i wpłynął również na ponad 11 innych protokołów DeFi.
14 marca Euler przedstawił aktualizację sytuacji i powiadomił swoich użytkowników, że wyłączyli podatny na ataki moduł Etoken do blokowania depozytów i podatną na ataki funkcję darowizn.
Firma powiedziała, że współpracuje z różnymi grupami bezpieczeństwa w celu przeprowadzenia audytów jej protokołu, a wrażliwy kod został sprawdzony i zatwierdzony podczas zewnętrznego audytu. Luka nie została wykryta w ramach audytu.
Jeden z naszych partnerów audytorskich, @Omniscia_sec, przygotował techniczną sekcję zwłok i bardzo szczegółowo przeanalizował atak. Możesz przeczytać ich raport tutaj: https://t.co/u4Z2xdutwe
Krótko mówiąc, atakujący wykorzystał wrażliwy kod, który pozwolił mu stworzyć niezabezpieczony dług tokena… https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) 14 marca 2023 r.
Luka utrzymywała się w łańcuchu przez osiem miesięcy, dopóki nie została wykorzystana, mimo że w tym czasie obowiązywała nagroda za błąd w wysokości 1 miliona dolarów.
Sherlock, grupa audytorska, która w przeszłości współpracowała z Euler Finance, zweryfikowała pierwotną przyczynę exploita i pomogła firmie Euler złożyć roszczenie. W protokole audytu odbyło się później głosowanie nad roszczeniem w wysokości 4.5 miliona dolarów, które zostało przyjęte, a następnie zrealizowano wypłatę w wysokości 3.3 miliona dolarów 14 marca.
Grupa kontrolna w swoim raporcie analitycznym zauważyła, że głównym czynnikiem powodującym exploit był brak kontroli stanu w donateToReserves(), nowej funkcji dodanej w EIP-14. Protokół podkreślał jednak, że atak był nadal technicznie możliwy nawet przed istnieniem EIP-14.
Powiązane: Ponad 280 łańcuchów bloków zagrożonych exploitami „zero-day”, ostrzega firma zajmująca się bezpieczeństwem
Sherlock zauważył, że audyt Eulera przeprowadzony przez WatchPug w lipcu 2022 r. pominął krytyczną lukę, która ostatecznie doprowadziła do exploita w marcu 2023 r.
Podobnie Sherlock stoi za każdym audytorem, który dokonał przeglądu Eulera.
Sherlock początkowo pracował z @cmichelio przeprowadzić audyt pierwszej wersji Eulera w grudniu 2021 r., a następnie z @shw9453 przeprowadzić audyt bardzo małej aktualizacji w styczniu 2022 r., a na koniec z @WatchPug_ na audyt EIP-14 w lipcu 2022 r.
— SHERLOK (@sherlockdefi) 13 marca 2023 r.
Euler skontaktował się również z wiodącymi firmami zajmującymi się analizą łańcucha i bezpieczeństwem łańcucha bloków, takimi jak TRM Labs, Chainalysis i szersza społeczność zajmująca się bezpieczeństwem ETH, aby pomóc im w dochodzeniu i odzyskaniu funduszy.
Euler poinformował, że próbuje również skontaktować się z osobami odpowiedzialnymi za atak, aby dowiedzieć się więcej o sprawie i ewentualnie wynegocjować nagrodę za odzyskanie skradzionych środków.
Źródło: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds