Протокол кредитования децентрализованного финансирования (DeFi) Euler Finance стал жертвой атаки на мгновенное кредитование 13 марта, что привело к крупнейшему взлому криптовалюты в 2023 году. Протокол кредитования потерял почти 197 миллионов долларов в результате атаки, а также затронул более 11 других протоколов DeFi.
14 марта Euler опубликовал обновленную информацию о ситуации и уведомил своих пользователей о том, что они отключили уязвимый модуль etoken для блокировки депозитов и уязвимой функции пожертвований.
Фирма заявила, что они работают с различными группами безопасности для проведения аудита ее протокола, а уязвимый код был проверен и одобрен в ходе внешнего аудита. Уязвимость не была обнаружена в рамках аудита.
Один из наших партнеров по аудиту, @Omniscia_sec, подготовил техническое вскрытие и подробно проанализировал атаку. Вы можете прочитать их отчет здесь: https://t.co/u4Z2xdutwe
Короче говоря, злоумышленник использовал уязвимый код, который позволил ему создать необеспеченный токен-долг… https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) 14 марта 2023 г.
Уязвимость оставалась в сети в течение восьми месяцев, пока ее не использовали, несмотря на вознаграждение за обнаружение ошибок в размере 1 миллиона долларов.
Sherlock, аудиторская группа, которая в прошлом работала с Euler Finance, проверила основную причину эксплойта и помогла Euler подать претензию. Протокол аудита позже проголосовал за иск на 4,5 миллиона долларов, который был принят, а затем 14 марта была произведена выплата в размере 3,3 миллиона долларов.
В своем аналитическом отчете аудиторская группа отметила существенный фактор эксплойта: отсутствие проверки работоспособности в «donateToReserves», новой функции, добавленной в EIP-14. Однако в протоколе подчеркивалось, что атака была технически возможна даже до EIP-14.
Связанный: более 280 блокчейнов подвержены риску эксплойтов «нулевого дня», предупреждает охранная фирма
Шерлок отметил, что аудит Эйлера, проведенный WatchPug в июле 2022 года, пропустил критическую уязвимость, которая в конечном итоге привела к эксплойту в марте 2023 года.
Точно так же Шерлок стоит за каждым аудитором, рецензировавшим Эйлера.
Сначала Шерлок работал с @cmichelio над аудитом первой версии Euler в декабре 2021 года, затем с @shw9453 над аудитом очень небольшого обновления в январе 2022 года и, наконец, с @WatchPug_ над аудитом EIP-14 в июле 2022 года.
— ШЕРЛОК (@sherlockdefi) 13 марта 2023 г.
Эйлер также обратился к ведущим компаниям, занимающимся аналитикой и безопасностью блокчейна, таким как TRM Labs, Chainalysis и более широкому сообществу безопасности ETH, чтобы помочь им в расследовании и возврате средств.
Эйлер уведомил, что они также пытаются связаться с ответственными за атаку, чтобы узнать больше о проблеме и, возможно, договориться о награде за возвращение украденных средств.
Источник: Сointеlеgrаph
«Эпические сатоши» Биткойна, или особенно редкая версия BTC наименьшего номинала, были проданы в апреле за…
Нейрохирург и соучредитель биотехнологической компании Илона Маска Neuralink говорит, что покинул семилетнюю фирму, потому что…
Криптотрейдеры считают, что бывшая первая леди Мишель Обама, которая не баллотируется и вряд ли объявит…
На этой неделе республиканцы, выступающие за криптовалюту, готовят атаку против Комиссии по ценным бумагам и…
Новая любимая игра Crypto Twitter, Fantasy Top, только что выплатила ведущим влиятельным лицам Ethereum на…
Дональд Трамп раньше был противником криптовалют. Но если он победит в ноябре и станет президентом…