Gedecentraliseerd financieringsprotocol (DeFi) Euler Finance werd op 13 maart het slachtoffer van een flitsleningaanval, resulterend in de grootste hack van crypto in 2023 tot nu toe. Het uitleenprotocol verloor bijna $ 197 miljoen aan de aanval en had ook invloed op meer dan 11 andere DeFi-protocollen.
Op 14 maart kwam Euler met een update over de situatie en liet het zijn gebruikers weten dat ze de kwetsbare Etoken-module hadden uitgeschakeld om stortingen en de kwetsbare donatiefunctie te blokkeren.
Het bedrijf zei dat ze met verschillende beveiligingsgroepen werken om audits van het protocol uit te voeren, en de kwetsbare code werd beoordeeld en goedgekeurd tijdens een externe audit. De kwetsbaarheid werd niet ontdekt als onderdeel van de audit.
Een van onze auditpartners, @Omniscia_sec, bereidde een technische autopsie voor en analyseerde de aanval tot in detail. Je kunt hun rapport hier lezen: https://t.co/u4Z2xdutwe
Kortom, de aanvaller misbruikte kwetsbare code waardoor hij een niet-ondersteunde tokenschuld kon creëren... https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) 14 maart 2023
De kwetsbaarheid bleef acht maanden on-chain totdat het werd uitgebuit, ondanks dat er gedurende die tijd een bug bounty van $ 1 miljoen van kracht was.
Sherlock, een auditgroep die in het verleden met Euler Finance heeft samengewerkt, verifieerde de oorzaak van de exploit en hielp Euler bij het indienen van een claim. Het auditprotocol hield later een stemming over de claim van $ 4.5 miljoen, die werd aangenomen en later op 3.3 maart een uitbetaling van $ 14 miljoen uitvoerde.
De auditgroep merkte in haar analyserapport op dat een belangrijke factor voor de exploit een ontbrekende statuscontrole was in donateToReserves(), een nieuwe functie die is toegevoegd in EIP-14. Het protocol benadrukte echter dat de aanval technisch nog steeds mogelijk was, zelfs vóór het bestaan van EIP-14.
Gerelateerd: meer dan 280 blockchains lopen het risico van 'zero-day'-exploits, waarschuwt beveiligingsbedrijf
Sherlock merkte op dat de Euler-audit door WatchPug in juli 2022 de kritieke kwetsbaarheid miste die uiteindelijk leidde tot de exploit in maart 2023.
Evenzo staat Sherlock achter elke auditor die Euler heeft beoordeeld.
Sherlock werkte aanvankelijk met @cmichelio om de eerste versie van Euler te controleren in december 2021, daarna met @shw9453 om een zeer kleine update te controleren in januari 2022, en uiteindelijk met @WatchPug_ om EIP-14 te controleren in juli 2022.
— SHERLOCK (@sherlockdefi) 13 maart 2023
Euler heeft ook contact gezocht met toonaangevende on-chain analytische en blockchain-beveiligingsbedrijven, zoals TRM Labs, Chainalysis en de bredere ETH-beveiligingsgemeenschap, in een poging hen te helpen bij het onderzoek en het geld terug te vorderen.
Euler liet weten dat ze ook proberen contact op te nemen met de verantwoordelijken voor de aanval om meer over het probleem te weten te komen en mogelijk te onderhandelen over een premie om het gestolen geld terug te krijgen.
Bron: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds