Decentralizētās finansēšanas (DeFi) kreditēšanas protokols Euler Finance kļuva par ātrā kredīta uzbrukuma upuri 13. martā, kā rezultātā 2023. gadā tika veikts līdz šim lielākais kriptovalūtu uzlauzums. Aizdevuma protokols uzbrukumā zaudēja gandrīz 197 miljonus ASV dolāru un ietekmēja arī vairāk nekā 11 citus DeFi protokolus.
14. martā Euler nāca klajā ar jaunāko informāciju par situāciju un paziņoja saviem lietotājiem, ka viņi ir atspējojuši ievainojamo Etoken moduli, lai bloķētu noguldījumus un neaizsargāto ziedošanas funkciju.
Uzņēmums teica, ka viņi sadarbojas ar dažādām drošības grupām, lai veiktu sava protokola auditus, un ievainojamais kods tika pārskatīts un apstiprināts ārējā audita laikā. Ievainojamība netika atklāta revīzijas laikā.
Viens no mūsu revīzijas partneriem, @Omniscia_sec, sagatavoja tehnisko pēcnāves izmeklējumu un ļoti detalizēti analizēja uzbrukumu. Viņu ziņojumu varat izlasīt šeit: https://t.co/u4Z2xdutwe
Īsāk sakot, uzbrucējs izmantoja ievainojamu kodu, kas ļāva tam izveidot neatbalstītu marķiera parādu… https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) Marts 14, 2023
Ievainojamība ķēdē palika astoņus mēnešus, līdz tā tika izmantota, neskatoties uz to, ka šajā laikā tika ieviesta 1 miljona ASV dolāru liela kļūda.
Sherlock, audita grupa, kas iepriekš ir sadarbojusies ar Euler Finance, pārbaudīja ļaunprātīgas izmantošanas galveno cēloni un palīdzēja Euler iesniegt prasību. Audita protokolā vēlāk notika balsojums par prasību par 4.5 miljoniem ASV dolāru, kas tika pieņemts un vēlāk 3.3. martā veica 14 miljonu dolāru izmaksu.
Audita grupa savā analīzes ziņojumā atzīmēja, ka galvenais faktors, kas izraisīja izmantošanu, bija trūkstošā veselības pārbaude donateToReserves(), kas ir jauna EIP-14 pievienotā funkcija. Tomēr protokolā tika uzsvērts, ka uzbrukums joprojām bija tehniski iespējams pat pirms EIP-14 pastāvēšanas.
Saistīts: Vairāk nekā 280 blokķēdes, kurām draud "nulles dienas" ekspluatācijas risks, brīdina drošības firma
Šerloks atzīmēja, ka WatchPug veiktais Euler audits 2022. gada jūlijā palaida garām kritisko ievainojamību, kas galu galā noveda pie ļaunprātīgas izmantošanas 2023. gada martā.
Līdzīgi, Šerloks stāv aiz katra auditora, kurš pārskatīja Eileru.
Šerloks sākotnēji strādāja ar @cmichelio lai pārbaudītu pirmo Euler versiju 2021. gada decembrī, pēc tam ar @shw9453 lai pārbaudītu ļoti nelielu atjauninājumu 2022. gada janvārī un visbeidzot ar @WatchPug_ veikt EIP-14 revīziju 2022. gada jūlijā.
— ŠERLOKS (@sherlockdefi) Marts 13, 2023
Euler ir arī sazinājies ar vadošajiem ķēdes analītikas un blokķēdes drošības uzņēmumiem, piemēram, TRM Labs, Chainalysis un plašāku ETH drošības kopienu, cenšoties palīdzēt viņiem izmeklēšanā un atgūt līdzekļus.
Eilers paziņoja, ka viņi arī mēģina sazināties ar tiem, kas ir atbildīgi par uzbrukumu, lai uzzinātu vairāk par šo problēmu un, iespējams, vienotos par atlīdzību, lai atgūtu nozagtos līdzekļus.
Avots: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds