Протокол кредитования децентрализованного финансирования (DeFi) Euler Finance стал жертвой атаки Flash Cread 13 марта, что привело к самому большому взлому криптографии в 2023 году. Протокол кредитования потерял почти 197 миллионов долларов в атаке и также повлиял на более чем 11 других протоколов DeFi.

14 марта Euler опубликовал обновленную информацию о ситуации и уведомил своих пользователей, что они отключили уязвимый модуль Etoken, чтобы блокировать депозиты и уязвимую функцию пожертвования.

Фирма заявила, что они работают с различными группами безопасности для проведения аудитов своего протокола, и уязвимый код был рассмотрен и утвержден во время внешнего аудита. Уязвимость не была обнаружена как часть аудита.

Один из наших партнеров по аудиту, @omniscia_sec, подготовил техническую посмертную среду и подробно проанализировал атаку. Вы можете прочитать их отчет здесь: https: //t.co/u4z2xdutwe

Короче говоря, злоумышленник использовал уязвимый код, который позволил ему создать невыночный токен долг… https://t.co/fgnpqvyugb

- Euler Labs (@eulerfinance) 14 марта 2023 г.

Уязвимость оставалась в цепочке в течение восьми месяцев, пока она не была эксплуатирована, несмотря на то, что за это время была награда за ошибку в 1 миллион долларов.

Шерлок, аудиторская группа, которая работала с Euler Finance в прошлом, проверила основную причину эксплойта и помогла Эйлеру представить претензию. Протокол аудита позже провел голосование по иску за 4,5 миллиона долларов, что было принято, а затем провели выплату в размере 3,3 млн. Долл. США 14 марта.

Группа аудита в своем отчете о анализе отметила, что основным фактором для эксплойта была пропущенная проверка здоровья в DonateToreserves (), новая функция, добавленная в EIP-14. Тем не менее, протокол подчеркнул, что атака была технически возможна еще до существования EIP-14.

Шерлок отметил, что аудит Euler от WatchPug в июле 2022 года пропустил критическую уязвимость, которая в конечном итоге привела к эксплойту в марте 2023 года.

Точно так же Шерлок стоит за каждым аудитором, который рассмотрел Эйлера.

Шерлок первоначально работал с @Cmichelio, чтобы проверить первую версию Euler в декабре 2021 года, затем с @SHW9453 для проверки очень небольшого обновления в январе 2022 года и, наконец, с @Watchpug_ для аудита EIP-14 в июле 2022 года.

- Шерлок (@sherlockdefi) 13 марта 2023 г.

Euler также обратился к ведущим аналитическим фирмам в области аналитических и блокчейн, таких как TRM Labs, Chainalysis и более широкое сообщество ETH Security, чтобы помочь им в расследовании и восстановить средства.

Эйлер уведомил, что они также пытаются связаться с теми, кто ответственен за атаку, чтобы узнать больше об этой проблеме и, возможно, договориться о награде, чтобы восстановить украденные средства.

Источник