Omniscia, audytor Euler Finance, opublikowała raport z sekcji zwłok, w którym stwierdzono, że luka w zabezpieczeniach wykorzystana przez złośliwych hakerów pochodzi z nieprawidłowego mechanizmu przekazywania darowizn w protokole zdecentralizowanego finansowania finansowego, który nie uwzględnia stanu zadłużenia dawcy .
Podatny na ataki kod wprowadzony w eIP-14 spowodował kilka modyfikacji w całym ekosystemie Eulera. Umożliwiło to atakującemu stworzenie nadmiernie lewarowanej pozycji i zlikwidowanie jej samodzielnie w tym samym bloku poprzez sztuczne spowodowanie „pod wodą”, podała firma w oświadczeniu.
- Funkcja znajdująca się w centrum luki nie była objęta żadnym audytem przeprowadzonym przez firmę Omniscia.
- Zewnętrzny audyt był odpowiedzialny za przegląd podatnego na ataki kodu, który został później zatwierdzony.
- Jednak luka nie została wykryta w ramach tego audytu i pozostawała w łańcuchu przez osiem miesięcy, aż została wykorzystana 13 marca, pomimo wyznaczenia nagrody za błąd w wysokości 1 miliona dolarów.
- Wadliwy moduł etoken został wyłączony, aby uniemożliwić wpłaty i wrażliwą funkcję darowizny.
- Po ataku protokół DeFi ujawnił współpracę z różnymi grupami bezpieczeństwa w celu przeprowadzenia audytów, a także wykorzystał organy ścigania do odzyskania funduszy.
„Jesteśmy zdruzgotani skutkami tego ataku na użytkowników protokołu Euler i będziemy nadal współpracować z naszymi partnerami w zakresie bezpieczeństwa, organami ścigania i szerszą społecznością, aby rozwiązać ten problem najlepiej jak potrafimy. Dziękuję bardzo za wsparcie i zachętę”.
Binance Free 100 $ (Exclusive): Użyj tego linku, aby zarejestrować się i otrzymać 100 $ za darmo i 10% zniżki na opłaty na Binance Futures w pierwszym miesiącu (warunki).
Oferta specjalna PrimeXBT: Użyj tego linku, aby się zarejestrować i wprowadzić kod POTATO50, aby otrzymać do 7,000 $ na swoje depozyty.
Źródło: https://cryptopotato.com/euler-finance-flash-loan-exploit-vulnerability-remained-on-chain-for-8-months/