Protokolli i huadhënies së financave të decentralizuara (DeFi) Euler Finance u bë viktimë e një sulmi të shpejtë të kredisë më 13 mars, duke rezultuar në hakimin më të madh të kriptove në 2023 deri më tani. Protokolli i huadhënies humbi gati 197 milionë dollarë në sulm dhe ndikoi gjithashtu në më shumë se 11 protokolle të tjera DeFi.
Më 14 mars, Euler doli me një përditësim mbi situatën dhe njoftoi përdoruesit e tij se kishin çaktivizuar modulin e cenueshëm Etoken për të bllokuar depozitat dhe funksionin e cenueshëm të dhurimit.
Firma tha se ata punojnë me grupe të ndryshme sigurie për të kryer auditime të protokollit të saj dhe kodi i cenueshëm u rishikua dhe u miratua gjatë një auditimi të jashtëm. Dobësia nuk u zbulua si pjesë e auditimit.
Një nga partnerët tanë të auditimit, @Omniscia_sec, përgatiti një post-mortem teknik dhe e analizoi sulmin në detaje. Raportin e tyre mund ta lexoni këtu: https://t.co/u4Z2xdutwe
Shkurtimisht, sulmuesi shfrytëzoi kodin e cenueshëm që e lejoi atë të krijonte një borxh token të pambështetur… https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) March 14, 2023
Dobësia mbeti në zinxhir për tetë muaj derisa u shfrytëzua, pavarësisht se një shpërblim prej 1 milion dollarësh ishte vendosur gjatë asaj kohe.
Sherlock, një grup auditimi që ka punuar me Euler Finance në të kaluarën, verifikoi shkakun rrënjësor të shfrytëzimit dhe e ndihmoi Euler të paraqiste një kërkesë. Protokolli i auditimit më vonë mbajti një votim mbi kërkesën për 4.5 milionë dollarë, i cili u miratua dhe më vonë ekzekutoi një pagesë prej 3.3 milionë dollarësh më 14 mars.
Grupi i auditimit, në raportin e tij të analizës, vuri në dukje se një faktor kryesor për shfrytëzimin ishte mungesa e kontrollit shëndetësor në donateToReserves(), një funksion i ri i shtuar në EIP-14. Megjithatë, protokolli theksoi se sulmi ishte ende teknikisht i mundur edhe para ekzistencës së EIP-14.
Të ngjashme: Më shumë se 280 blockchain në rrezik të shfrytëzimeve 'zero-day', paralajmëron firma e sigurisë
Sherlock vuri në dukje se auditimi i Euler nga WatchPug në korrik 2022 humbi cenueshmërinë kritike që përfundimisht çoi në shfrytëzimin në mars 2023.
Në mënyrë të ngjashme, Sherlock qëndron pas çdo auditori që shqyrtoi Euler-in.
Sherlock fillimisht punoi me të @cmichelio për të audituar versionin e parë të Euler në dhjetor 2021, më pas me @shw9453 për të audituar një përditësim shumë të vogël në janar 2022, dhe më në fund me @WatchPug_ për të audituar EIP-14 në korrik 2022.
— SHERLOCK (@sherlockdefi) March 13, 2023
Euler ka kontaktuar gjithashtu me firmat kryesore analitike në zinxhir dhe të sigurisë së bllokut, të tilla si TRM Labs, Chainalysis dhe komuniteti më i gjerë i sigurisë ETH, në një përpjekje për t'i ndihmuar ata me hetimin dhe rikuperimin e fondeve.
Euler njoftoi se ata po përpiqen gjithashtu të kontaktojnë ata që janë përgjegjës për sulmin në mënyrë që të mësojnë më shumë rreth çështjes dhe ndoshta të negociojnë një shpërblim për të rikuperuar fondet e vjedhura.
Burimi: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds