Dezentraliséiert Finanzen (DeFi) Prêt Protokoll Euler Finance gouf Affer vun engem Flash Prêt Attack den 13. Mäerz, wat zu de gréissten Hack vu Krypto am Joer 2023 bis elo resultéiert. De Prêtprotokoll huet bal $197 Milliounen am Attack verluer an huet och méi wéi 11 aner DeFi Protokoller beaflosst.
De 14. Mäerz koum den Euler mat engem Update iwwer d'Situatioun eraus an huet seng Benotzer matgedeelt datt si de vulnérable Etoken Modul deaktivéiert hunn fir Depositiounen an déi vulnérabel Spendefunktioun ze blockéieren.
D'Firma sot datt si mat verschiddene Sécherheetsgruppen schaffen fir Audits vu sengem Protokoll auszeféieren, an de vulnérable Code gouf während engem externen Audit iwwerpréift an guttgeheescht. D'Schwachheet gouf net als Deel vum Audit entdeckt.
Ee vun eisen Auditpartner, @Omniscia_sec, eng technesch Postmortem virbereet an d'Attack am Detail analyséiert. Dir kënnt hire Bericht hei liesen: https://t.co/u4Z2xdutwe
Kuerz gesot, den Ugräifer huet vulnérabel Code ausgenotzt, deen et erlaabt huet eng unbacked Token Schold ze kreéieren ... https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) Mäerz 14, 2023
D'Schwachheet blouf aacht Méint on-chain bis se exploitéiert gouf, trotz enger $ 1 Millioun Bug Bounty déi während där Zäit op der Plaz war.
De Sherlock, en Auditgrupp deen an der Vergaangenheet mat Euler Finance geschafft huet, huet d'Wurzelursaach vum Exploit verifizéiert an huet dem Euler gehollef eng Fuerderung ofzeginn. Den Auditprotokoll huet spéider e Vote iwwer d'Fuerderung fir $ 4.5 Milliounen ofgehalen, déi ugeholl gouf a spéider eng $ 3.3 Milliounen Ausbezuelung de 14. Mäerz ausgefouert huet.
Den Auditgrupp, a sengem Analysebericht, bemierkt datt e wichtege Faktor fir den Ausbeutung e vermësste Gesondheetscheck an donateToReserves (), eng nei Funktioun am EIP-14 derbäigesat gouf. Wéi och ëmmer, de Protokoll betount datt d'Attack och nach virun der Existenz vun EIP-14 technesch méiglech war.
Verbonnen: Méi wéi 280 Blockchainen a Gefor vun "Null-Dag" Ausnotzen, warnt Sécherheetsfirma
De Sherlock bemierkt datt den Euler Audit vum WatchPug am Juli 2022 déi kritesch Schwachstelle verpasst huet, déi schlussendlech zum Ausbeutung am Mäerz 2023 gefouert huet.
Ähnlech steet de Sherlock hannert all Auditeur deen den Euler iwwerpréift huet.
Sherlock am Ufank geschafft mat @cmichelio fir déi éischt Versioun vum Euler am Dezember 2021 ze auditéieren, dann mat @shw9453 fir e ganz klengen Update am Januar 2022 ze auditéieren, a schliisslech mat @WatchPug_ EIP-14 am Juli 2022 ze auditéieren.
— SHERLOCK (@sherlockdefi) Mäerz 13, 2023
Den Euler huet och fir féierend on-chain analytesch a blockchain Sécherheetsfirmen erreecht, wéi TRM Labs, Chainalysis an déi breet ETH Sécherheetsgemeinschaft, an enger Offer fir hinnen mat der Enquête ze hëllefen an d'Fongen ze recuperéieren.
Den Euler huet ugekënnegt datt si och versichen déi Verantwortlech fir d'Attack ze kontaktéieren fir méi iwwer d'Thema ze léieren an eventuell e Bounty ze verhandelen fir déi geklauten Fongen ze recuperéieren.
Quell: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds