Euler Finance ma wysłany surowe ostrzeżenie dla hakera, który ukradł 200 milionów dolarów funduszy użytkowników za pomocą ataków typu flash-pożyczka na protokół. Zespół stojący za Euler Finance ogłosił, że jest gotów wyznaczyć na hakera nagrodę w wysokości 1 miliona dolarów za wszelkie informacje, które doprowadzą do aresztowania napastnika i zwrotu środków prawowitym właścicielom.
Ogłoszenie pojawia się po tym, jak Euler Finance został wykorzystany za 197 milionów dolarów w stETH, wstETH, WBTC, USDC, DAI i WETH. Po wycofaniu się hakera w protokole pozostało bardzo niewiele tokenów. Jedną z pierwszych czerwonych flag był ogromny wzrost wolumenu pożyczek w ciągu godziny w protokole Eulera.
1/10 Niedawny exploit protokołu Eulera spowodował utratę wartości stETH, wstETH, WBTC, USDC, DAI i WETH o wartości 197 mln USD. Przyjrzyjmy się początkowym sygnałom ostrzegawczym związanym z exploitem i sposobowi jego wykonania, korzystając z radaru ryzyka dla Eulera: https://t.co/rO5rRIU2Rm #EulerFinanse
- IntoTheBlock (@intotheblock) 13 marca 2023 r.
Haker użył funkcji „DonateToReserves()”, aby celowo umieścić swoje pozycje pod wodą, umożliwiając im ich likwidację. W ten sposób haker był w stanie przejąć zarówno zabezpieczenie, jak i premię likwidacyjną, co przyniosło atakującemu znaczne korzyści.
Wszystkie włamania miały miejsce w tym samym bloku, co utrudniało zapobieganie exploitowi, ponieważ nie było czasu na wdrożenie jakichkolwiek środków zaradczych. Jednak jednym z potencjalnych rozwiązań dla przyszłych ataków o podobnym charakterze jest wykorzystanie botów Miner Extractable Value (MEV), które są w stanie wykrywać i przeprowadzać złośliwe transakcje w czasie rzeczywistym.
Spośród wszystkich tokenów typu zabezpieczenia na Euler, tylko USDT i cbETH nie były celem. Wydaje się, że jest to spowodowane niską płynnością w łańcuchu. cbETH ma kilka mniejszych pul rozproszonych po protokołach, a główna pula USDT (3pool on curve) została wyczerpana z powodu paniki USDC w weekend.
Po ataku haker spłacił swoje pożyczki błyskawiczne z Aave v2 i Balancer i zamienił wszystkie przejęte aktywa na ETH i DAI. Zamiana stETH na ETH była wystarczająco duża, aby przesunąć skład płynności puli stETH firmy Curve o prawie 5%.
Źródło: https://u.today/euler-finance-sends-terrifying-ultimatum-to-hacker-who-stole-200-million