Detsentraliseeritud finantseerimise (DeFi) laenuprotokoll Euler Finance sai 13. märtsil kiirlaenurünnaku ohvriks, mille tulemuseks oli seni suurim krüptohäkkimine 2023. aastal. Laenuprotokoll kaotas rünnakus ligi 197 miljonit dollarit ja mõjutas ka rohkem kui 11 muud DeFi protokolli.
14. märtsil tuli Euler välja värskendusega olukorra kohta ja teavitas oma kasutajaid, et nad keelasid haavatava Etokeni mooduli hoiuste blokeerimiseks ja haavatava annetamise funktsiooni.
Ettevõte ütles, et nad teevad protokolli auditeerimiseks koostööd erinevate turvagruppidega ning haavatav kood vaadati üle ja kiideti heaks välisauditi käigus. Haavatavust auditi käigus ei avastatud.
Üks meie auditeerimispartneritest, @Omniscia_sec, koostas tehnilise surmajärgse aruande ja analüüsis rünnakut väga üksikasjalikult. Nende aruannet saate lugeda siit: https://t.co/u4Z2xdutwe
Lühidalt öeldes kasutas ründaja ära haavatavat koodi, mis võimaldas tal luua tagamata märgivõla… https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) Märtsil 14, 2023
Haavatavus püsis ahelas kaheksa kuud, kuni seda ära kasutati, hoolimata sellest, et selle aja jooksul kehtis 1 miljoni dollari suurune vearaha.
Sherlock, auditirühm, kes on varem Euler Finance'iga koostööd teinud, kontrollis ärakasutamise algpõhjust ja aitas Euleril nõude esitada. Auditi protokollis korraldati hiljem 4.5 miljoni dollari suuruse nõude üle hääletus, mis võeti vastu ja hiljem tehti 3.3. märtsil 14 miljoni dollari suurune väljamakse.
Auditirühm märkis oma analüüsiaruandes, et ärakasutamise peamine tegur oli EIP-14-sse lisatud uue funktsiooni donateToReserves() puudulik tervisekontroll. Samas rõhutati protokollis, et rünnak oli tehniliselt võimalik ka enne EIP-14 olemasolu.
Seotud: Turvafirma hoiatab, et enam kui 280 plokiahelat ohustab nullpäeva ärakasutamine
Sherlock märkis, et WatchPugi Euleri audit 2022. aasta juulis jättis tähelepanuta kriitilise haavatavuse, mis viis lõpuks ärakasutamiseni 2023. aasta märtsis.
Samamoodi seisab Sherlock iga audiitori taga, kes Euleri üle vaatas.
Sherlock töötas alguses koos @cmichelio Euleri esimese versiooni auditeerimiseks 2021. aasta detsembris, seejärel koos @shw9453 väga väikese värskenduse auditeerimiseks 2022. aasta jaanuaris ja lõpuks koos @WatchPug_ EIP-14 auditeerimiseks 2022. aasta juulis.
— SHERLOCK (@sherlockdefi) Märtsil 13, 2023
Euler on pöördunud ka juhtivate ahelasiseste analüütiliste ja plokiahela turvafirmade poole, nagu TRM Labs, Chainalysis ja laiem ETH turbekogukond, et aidata neid uurimisel ja raha tagasi saada.
Euler teatas, et nad üritavad ühendust võtta ka rünnaku eest vastutavate isikutega, et saada rohkem teavet selle probleemi kohta ja pidada läbirääkimisi varastatud raha tagasisaamiseks.
Allikas: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds