Kwetsbaarheid bleef 8 maanden on-chain

Omniscia, de auditpartner van Euler Finance, heeft hierover een postmortaal rapport uitgebracht waarin staat dat de kwetsbaarheid die door de kwaadwillende hackers werd uitgebuit, voortkwam uit het onjuiste donatiemechanisme van het gedecentraliseerde protocol voor financiële leningen dat geen rekening hield met de schuldenlast van de donor. .

De kwetsbare code die in eIP-14 werd geïntroduceerd, bracht verschillende wijzigingen teweeg in het hele Euler-ecosysteem. Hierdoor kon de aanvaller een positie met te veel hefboomwerking creëren en deze zelf in hetzelfde blok liquideren door deze kunstmatig "onder water" te laten gaan, zei het bedrijf in een verklaring.

• De functie in het centrum van de kwetsbaarheid viel niet onder de reikwijdte van een audit uitgevoerd door Omniscia.
• Een externe audit was verantwoordelijk voor het beoordelen van de kwetsbare code, die later werd goedgekeurd.
• De kwetsbaarheid werd echter niet ontdekt als onderdeel van die audit en bleef acht maanden on-chain totdat het op 13 maart werd uitgebuit ondanks een bug bounty van $ 1 miljoen.
• De gebrekkige etoken-module is uitgeschakeld om stortingen en de kwetsbare donatiefunctie te voorkomen.
• Na de aanval onthulde het DeFi-protocol dat er met verschillende beveiligingsgroepen werd samengewerkt om audits uit te voeren en dat er ook wetshandhavingsinstanties werden ingeschakeld om het geld terug te vorderen.

“We zijn verwoest door het effect van deze aanval op gebruikers van het Euler-protocol en zullen blijven samenwerken met onze beveiligingspartners, wetshandhavers en de bredere gemeenschap om dit zo goed mogelijk op te lossen. Heel erg bedankt voor je steun en aanmoediging.”