Протокол кредитования децентрализованного финансирования (DeFi) Euler Finance стал жертвой атаки на мгновенное кредитование 13 марта, что привело к крупнейшему взлому криптовалюты в 2023 году. Протокол кредитования потерял почти 197 миллионов долларов в результате атаки, а также затронул более 11 других протоколов DeFi.
14 марта Euler опубликовал обновленную информацию о ситуации и уведомил своих пользователей о том, что они отключили уязвимый модуль Etoken для блокировки депозитов и уязвимой функции пожертвований.
Фирма заявила, что они работают с различными группами безопасности для проведения аудита ее протокола, а уязвимый код был проверен и одобрен в ходе внешнего аудита. Уязвимость не была обнаружена в рамках аудита.
Один из наших партнеров по аудиту, @Omniscia_sec, подготовил техническое вскрытие и очень подробно проанализировал атаку. Вы можете прочитать их отчет здесь: https://t.co/u4Z2xdutwe
Короче говоря, злоумышленник использовал уязвимый код, который позволил ему создать необеспеченный токен-долг… https://t.co/FGnPqvYUGB
— Лаборатории Эйлера (@eulerfinance) 14 марта 2023
Уязвимость оставалась в сети в течение восьми месяцев, пока ее не использовали, несмотря на то, что в течение этого времени действовала награда за обнаружение ошибок в размере 1 миллиона долларов.
Sherlock, аудиторская группа, которая в прошлом работала с Euler Finance, проверила основную причину эксплойта и помогла Euler подать претензию. Позже в протоколе аудита было проведено голосование по иску на 4.5 миллиона долларов, которое было принято, а затем 3.3 марта была произведена выплата в размере 14 миллиона долларов.
Группа аудита в своем аналитическом отчете отметила, что основным фактором эксплойта было отсутствие проверки работоспособности в donateToReserves(), новой функции, добавленной в EIP-14. Однако в протоколе подчеркивалось, что атака была технически возможна даже до появления EIP-14.
Связанный: более 280 блокчейнов подвержены риску эксплойтов «нулевого дня», предупреждает охранная фирма
Шерлок отметил, что аудит Эйлера, проведенный WatchPug в июле 2022 года, пропустил критическую уязвимость, которая в конечном итоге привела к эксплойту в марте 2023 года.
Точно так же Шерлок стоит за каждым аудитором, рецензировавшим Эйлера.
Шерлок изначально работал с @cmichelio провести аудит первой версии Эйлера в декабре 2021 года, затем с @shw9453 для аудита очень небольшого обновления в январе 2022 года и, наконец, с @WatchPug_ для аудита EIP-14 в июле 2022 года.
— ШЕРЛОК (@sherlockdefi) 13 марта 2023
Эйлер также обратился к ведущим компаниям, занимающимся аналитикой и безопасностью блокчейна, таким как TRM Labs, Chainalysis и более широкому сообществу безопасности ETH, чтобы помочь им в расследовании и возврате средств.
Эйлер уведомил, что они также пытаются связаться с ответственными за атаку, чтобы узнать больше о проблеме и, возможно, договориться о награде за возвращение украденных средств.
Источник: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds.