Ang Decentralized finance (DeFi) lending protocol na Euler Finance ay naging biktima ng isang flash loan attack noong Marso 13, na nagresulta sa pinakamalaking hack ng crypto noong 2023 hanggang ngayon. Nawala ang lending protocol ng halos $197 milyon sa pag-atake at nakaapekto rin sa higit sa 11 iba pang DeFi protocol.
Noong Marso 14, naglabas si Euler ng update sa sitwasyon at inabisuhan ang mga user nito na hindi nila pinagana ang mahinang Etoken module upang harangan ang mga deposito at ang mahinang paggana ng donasyon.
Sinabi ng firm na nakikipagtulungan sila sa iba't ibang grupo ng seguridad upang magsagawa ng mga pag-audit sa protocol nito, at ang masusugatan na code ay nasuri at naaprubahan sa panahon ng pag-audit sa labas. Ang kahinaan ay hindi natuklasan bilang bahagi ng pag-audit.
Isa sa aming mga kasosyo sa pag-audit, @Omniscia_sec, naghanda ng teknikal na post-mortem at sinuri ang pag-atake nang detalyado. Maaari mong basahin ang kanilang ulat dito: https://t.co/u4Z2xdutwe
Sa madaling salita, sinamantala ng attacker ang vulnerable code na nagbigay-daan dito na lumikha ng unbacked token debt… https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) Marso 14, 2023
Ang kahinaan ay nanatiling on-chain sa loob ng walong buwan hanggang sa ito ay pinagsamantalahan, sa kabila ng isang $1 milyon na bug bounty na nasa lugar sa panahong iyon.
Ang Sherlock, isang grupo ng pag-audit na nakipagtulungan sa Euler Finance sa nakaraan, ay na-verify ang ugat ng pagsasamantala at tinulungan si Euler na magsumite ng isang claim. Ang audit protocol kalaunan ay nagsagawa ng boto sa claim para sa $4.5 milyon, na ipinasa at kalaunan ay nagsagawa ng $3.3 milyon na payout noong Marso 14.
Ang audit group, sa ulat ng pagsusuri nito, ay nabanggit na ang isang pangunahing kadahilanan para sa pagsasamantala ay ang nawawalang pagsusuri sa kalusugan sa donateToReserves(), isang bagong function na idinagdag sa EIP-14. Gayunpaman, idiniin ng protocol na ang pag-atake ay posible pa rin sa teknikal kahit na bago ang pagkakaroon ng EIP-14.
Kaugnay: Higit sa 280 blockchain na nasa panganib ng 'zero-day' na pagsasamantala, nagbabala sa security firm
Nabanggit ni Sherlock na ang pag-audit ng Euler ng WatchPug noong Hulyo 2022 ay hindi nakuha ang kritikal na kahinaan na kalaunan ay humantong sa pagsasamantala noong Marso 2023.
Katulad nito, nakatayo si Sherlock sa likod ng bawat auditor na nagsuri kay Euler.
Sa una ay nagtrabaho si Sherlock @cmichelio upang i-audit ang unang bersyon ng Euler sa Dis 2021, pagkatapos ay sa @shw9453 upang i-audit ang isang napakaliit na update sa Ene 2022, at sa wakas ay may @WatchPug_ upang i-audit ang EIP-14 sa Hulyo 2022.
— SHERLOCK (@sherlockdefi) Marso 13, 2023
Nakipag-ugnayan din si Euler sa mga nangungunang on-chain analytic at blockchain security firms, tulad ng TRM Labs, Chainalysis at ang mas malawak na komunidad ng seguridad ng ETH, sa isang bid na tulungan sila sa imbestigasyon at mabawi ang mga pondo.
Inabisuhan ni Euler na sinusubukan din nilang makipag-ugnayan sa mga responsable sa pag-atake upang malaman ang higit pa tungkol sa isyu at posibleng makipag-ayos ng bounty para mabawi ang mga ninakaw na pondo.
Pinagmulan: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds