Protokol pinjaman kewangan terdesentralisasi (DeFi) Euler Finance menjadi mangsa serangan pinjaman kilat pada 13 Mac, mengakibatkan penggodaman crypto terbesar pada 2023 setakat ini. Protokol pemberian pinjaman kehilangan hampir $197 juta dalam serangan itu dan memberi kesan kepada lebih daripada 11 protokol DeFi lain juga.
Pada 14 Mac, Euler mengeluarkan kemas kini tentang situasi itu dan memaklumkan penggunanya bahawa mereka telah melumpuhkan modul Etoken yang terdedah untuk menyekat deposit dan fungsi derma yang terdedah.
Firma itu berkata bahawa mereka bekerjasama dengan pelbagai kumpulan keselamatan untuk melaksanakan audit protokolnya, dan kod yang terdedah telah disemak dan diluluskan semasa audit luar. Kerentanan tidak ditemui sebagai sebahagian daripada audit.
Salah satu rakan pengauditan kami, @Omniscia_sec, menyediakan bedah siasat teknikal dan menganalisis serangan dengan sangat terperinci. Anda boleh membaca laporan mereka di sini:https://t.co/u4Z2xdutwe
Pendek kata, penyerang mengeksploitasi kod terdedah yang membenarkannya membuat hutang token yang tidak disandarkan… https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) Mac 14, 2023
Kerentanan itu kekal dalam rantaian selama lapan bulan sehingga ia dieksploitasi, walaupun hadiah pepijat $1 juta telah disediakan pada masa itu.
Sherlock, kumpulan audit yang pernah bekerja dengan Euler Finance pada masa lalu, mengesahkan punca eksploitasi dan membantu Euler mengemukakan tuntutan. Protokol audit kemudiannya mengadakan undian pada tuntutan untuk $4.5 juta, yang telah diluluskan dan kemudiannya melaksanakan pembayaran $3.3 juta pada 14 Mac.
Kumpulan audit, dalam laporan analisisnya, menyatakan bahawa faktor utama untuk eksploitasi itu ialah pemeriksaan kesihatan yang hilang dalam donateToReserves(), fungsi baharu yang ditambah dalam EIP-14. Walau bagaimanapun, protokol itu menegaskan bahawa serangan itu masih mungkin secara teknikal walaupun sebelum kewujudan EIP-14.
Berkaitan: Lebih daripada 280 blockchain berisiko eksploitasi 'sifar hari', memberi amaran kepada firma keselamatan
Sherlock menyatakan bahawa audit Euler oleh WatchPug pada Julai 2022 terlepas kerentanan kritikal yang akhirnya membawa kepada eksploitasi pada Mac 2023.
Begitu juga, Sherlock berdiri di belakang setiap juruaudit yang menyemak Euler.
Sherlock pada mulanya bekerja dengannya @cmichelio untuk mengaudit versi pertama Euler pada Dis 2021, kemudian dengan @shw9453 untuk mengaudit kemas kini yang sangat kecil pada Jan 2022, dan akhirnya dengan @WatchPug_ untuk mengaudit EIP-14 pada Julai 2022.
— SHERLOCK (@sherlockdefi) Mac 13, 2023
Euler juga telah menghubungi firma keselamatan analitik dalam rantaian terkemuka, seperti TRM Labs, Chainalysis dan komuniti keselamatan ETH yang lebih luas, dalam usaha untuk membantu mereka dalam penyiasatan dan mendapatkan semula dana.
Euler memaklumkan bahawa mereka juga cuba menghubungi mereka yang bertanggungjawab atas serangan itu untuk mengetahui lebih lanjut tentang isu itu dan mungkin merundingkan hadiah untuk mendapatkan semula dana yang dicuri.
Sumber: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds