Hajautetun rahoituksen (DeFi) lainausprotokolla Euler Finance joutui flash-lainahyökkäyksen uhriksi 13. maaliskuuta, mikä johti vuoden 2023 tähän mennessä suurimman krypton hakkerointiin. Lainausprotokolla menetti hyökkäyksessä lähes 197 miljoonaa dollaria ja vaikutti myös yli 11 muuhun DeFi-protokollaan.
Maaliskuun 14. päivänä Euler julkaisi päivityksen tilanteesta ja ilmoitti käyttäjilleen, että he olivat estäneet haavoittuvan Etoken-moduulin talletusten ja haavoittuvien lahjoitustoimintojen estämiseksi.
Yritys kertoi työskentelevänsä eri tietoturvaryhmien kanssa protokollansa tarkastamiseksi, ja haavoittuva koodi tarkistettiin ja hyväksyttiin ulkopuolisen tarkastuksen aikana. Haavoittuvuutta ei havaittu osana tarkastusta.
Yksi tilintarkastuskumppaneistamme, @Omniscia_sec, valmisteli teknisen post mortem -tutkimuksen ja analysoi hyökkäyksen erittäin yksityiskohtaisesti. Voit lukea heidän raporttinsa täältä: https://t.co/u4Z2xdutwe
Lyhyesti sanottuna, hyökkääjä käytti hyväkseen haavoittuvaa koodia, jonka ansiosta se pystyi luomaan tukemattoman token-velan… https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) Maaliskuussa 14, 2023
Haavoittuvuus pysyi ketjussa kahdeksan kuukautta, kunnes sitä hyödynnettiin, vaikka tuona aikana oli käytössä miljoonan dollarin bugipalkkio.
Sherlock, auditointiryhmä, joka on työskennellyt Euler Financen kanssa aiemmin, vahvisti hyväksikäytön perimmäisen syyn ja auttoi Euleria esittämään vaatimuksen. Tarkastuspöytäkirjassa äänestettiin myöhemmin 4.5 miljoonan dollarin vaatimuksesta, joka hyväksyttiin ja suoritti myöhemmin 3.3 miljoonan dollarin maksun 14. maaliskuuta.
Tarkastusryhmä totesi analyysiraportissaan, että suuri tekijä hyväksikäytössä oli puuttuva kuntotarkastus EIP-14:ään lisätyssä uudessa toiminnossa donateToReserves(). Pöytäkirjassa kuitenkin korostettiin, että hyökkäys oli teknisesti mahdollista vielä ennen EIP-14:n olemassaoloa.
Aiheeseen liittyvä: Yli 280 lohkoketjua on vaarassa "nollapäivän" hyväksikäytölle, varoittaa turvallisuusyritys
Sherlock totesi, että WatchPugin heinäkuussa 2022 tekemä Euler-tarkastus jätti huomiotta kriittisen haavoittuvuuden, joka lopulta johti hyväksikäyttöön maaliskuussa 2023.
Samoin Sherlock seisoo jokaisen Eulerin arvioineen tilintarkastajan takana.
Sherlock työskenteli aluksi @cmichelio tarkastaa ensimmäinen Eulerin versio joulukuussa 2021, sitten kanssa @shw9453 tarkastaa hyvin pieni päivitys tammikuussa 2022 ja lopulta kanssa @WatchPug_ tarkastaa EIP-14 heinäkuussa 2022.
- SHERLOCK (@sherlockdefi) Maaliskuussa 13, 2023
Euler on myös ottanut yhteyttä johtaviin ketjun analyyttisiin ja blockchain-tietoturvayrityksiin, kuten TRM Labsiin, Chainalysisiin ja laajempaan ETH-tietoturvayhteisöön, auttaakseen heitä tutkimuksessa ja varojen takaisinperimisessä.
Euler ilmoitti, että he yrittävät myös ottaa yhteyttä hyökkäyksestä vastuussa oleviin saadakseen lisätietoja asiasta ja mahdollisesti neuvotellakseen palkkiosta varastettujen varojen takaisin saamiseksi.
Lähde: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds