Эксплуататор Euler Finance возвращает ETH и DAI еще на 37,1 млн долларов

Как показывают данные сети, 27 марта автор эксплойта Euler Finance от 13 марта вернул дополнительные эфиры (ETH) на сумму 26,5 млн долларов на учетную запись развертывателя Euler Finance.

Еще 13M для команды Эйлера

В кошельке, отправившем это письмо, осталось 20 млн.

Давайте разберемся pic.twitter.com/rF8l6e7yYw

— БОГ DCF (@dcfgod) 27 марта 2023 г.

В 18:21 по всемирному координированному времени адрес, связанный со злоумышленником, отправил 7 738,05 ETH (примерно 13,2 миллиона долларов на момент подтверждения) на учетную запись пользователя Euler. В том же блоке другой адрес, связанный со злоумышленником, отправил идентичную сумму на ту же учетную запись развертывателя, в результате чего команде Эйлера было возвращено 15 476,1 ETH (около 26,4 миллиона долларов).

Затем, в 18:40 по всемирному координированному времени, первый кошелек отправил еще одну транзакцию на учетную запись развертывателя на сумму 10,7 млн ​​долларов в стабильной монете Dai (DAI). Таким образом, общая сумма всех трех транзакций составляет примерно 37,1 миллиона долларов.

Оба этих адреса получили средства со счета, который Etherscan помечает как «Euler Finance Exploiter 2», что, по-видимому, подразумевает, что они находятся под контролем злоумышленника.

Эти транзакции последовали за предыдущим возвратом 58 000 ETH (на тот момент на сумму более 101 миллиона долларов) 25 марта. В общей сложности злоумышленник вернул криптоактивов на сумму более 138 миллионов долларов с момента эксплойта.

13 марта был взломан протокол крипто-кредитования Euler Finance на основе Ethereum, и из его смарт-контрактов было украдено более 195 миллионов долларов ETH и токенов. Несколько протоколов в экосистеме Ethereum так или иначе зависели от Эйлера, и как минимум 11 протоколов заявили, что понесли косвенные потери в результате атаки.

Согласно анализу Slowmist, эксплойт произошел из-за неисправной функции, которая позволяла злоумышленнику пожертвовать одолженный Dai в резервный фонд. Сделав это пожертвование, злоумышленник смог довести свою учетную запись до неплатежеспособности. Затем была использована отдельная учетная запись для ликвидации первой учетной записи с большой скидкой, что позволило злоумышленнику получить прибыль от этой скидки.

Опустошив Dai посредством этой первой атаки, злоумышленник повторил ее для нескольких токенов, удалив из протокола более 196 миллионов долларов.

Украдены средства из Euler Finance. Источник: БлокСек
Источник: Сointеlеgrаph