Πρωτόκολλο δανεισμού αποκεντρωμένης χρηματοδότησης (DeFi) Η Euler Finance έπεσε θύμα επίθεσης στιγμιαίου δανείου στις 13 Μαρτίου, με αποτέλεσμα το μεγαλύτερο hack κρυπτογράφησης το 2023 μέχρι στιγμής. Το πρωτόκολλο δανεισμού έχασε σχεδόν 197 εκατομμύρια δολάρια στην επίθεση και επηρέασε επίσης περισσότερα από 11 άλλα πρωτόκολλα DeFi.
Στις 14 Μαρτίου, η Euler βγήκε με μια ενημέρωση για την κατάσταση και ειδοποίησε τους χρήστες της ότι είχαν απενεργοποιήσει την ευάλωτη μονάδα Etoken για να μπλοκάρει τις καταθέσεις και τη λειτουργία ευάλωτων δωρεών.
Η εταιρεία είπε ότι συνεργάζεται με διάφορες ομάδες ασφαλείας για να πραγματοποιήσει ελέγχους του πρωτοκόλλου της και ο ευάλωτος κώδικας εξετάστηκε και εγκρίθηκε κατά τη διάρκεια εξωτερικού ελέγχου. Η ευπάθεια δεν ανακαλύφθηκε στο πλαίσιο του ελέγχου.
Ένας από τους ελεγκτικούς εταίρους μας, @Omniscia_sec, ετοίμασε μια τεχνική νεκροψία και ανέλυσε την επίθεση με μεγάλη λεπτομέρεια. Μπορείτε να διαβάσετε την έκθεσή τους εδώ: https://t.co/u4Z2xdutwe
Εν ολίγοις, ο εισβολέας εκμεταλλεύτηκε ευάλωτο κώδικα που του επέτρεψε να δημιουργήσει ένα μη υποστηριζόμενο χρέος… https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) Μαρτίου 14, 2023
Η ευπάθεια παρέμεινε στην αλυσίδα για οκτώ μήνες έως ότου αξιοποιήθηκε, παρά την επιβράβευση σφαλμάτων 1 εκατομμυρίου δολαρίων που υπήρχε κατά τη διάρκεια αυτής της περιόδου.
Η Sherlock, μια ομάδα ελέγχου που έχει συνεργαστεί με την Euler Finance στο παρελθόν, επαλήθευσε τη βασική αιτία της εκμετάλλευσης και βοήθησε τον Euler να υποβάλει αξίωση. Το πρωτόκολλο ελέγχου διεξήγαγε αργότερα ψηφοφορία για την αξίωση 4.5 εκατομμυρίων δολαρίων, η οποία εγκρίθηκε και αργότερα εκτελέστηκε πληρωμή 3.3 εκατομμυρίων δολαρίων στις 14 Μαρτίου.
Η ομάδα ελέγχου, στην έκθεση ανάλυσής της, σημείωσε ότι ένας σημαντικός παράγοντας για την εκμετάλλευση ήταν ο έλεγχος υγείας που έλειπε στο donateToReserves(), μια νέα συνάρτηση που προστέθηκε στο EIP-14. Ωστόσο, το πρωτόκολλο τόνιζε ότι η επίθεση ήταν ακόμα τεχνικά δυνατή ακόμη και πριν από την ύπαρξη του EIP-14.
Σχετικά: Περισσότερα από 280 blockchains κινδυνεύουν από εκμεταλλεύσεις «zero-day», προειδοποιεί η εταιρεία ασφαλείας
Ο Σέρλοκ σημείωσε ότι ο έλεγχος του Euler από την WatchPug τον Ιούλιο του 2022 έχασε την κρίσιμη ευπάθεια που τελικά οδήγησε στην εκμετάλλευση τον Μάρτιο του 2023.
Ομοίως, ο Σέρλοκ στέκεται πίσω από κάθε ελεγκτή που εξέτασε τον Euler.
Ο Σέρλοκ αρχικά συνεργάστηκε με @cmichelio για έλεγχο της πρώτης έκδοσης του Euler τον Δεκέμβριο του 2021, στη συνέχεια με @shw9453 για έλεγχο μιας πολύ μικρής ενημέρωσης τον Ιανουάριο του 2022 και τέλος με @WatchPug_ για έλεγχο EIP-14 τον Ιούλιο του 2022.
— SHERLOCK (@sherlockdefi) Μαρτίου 13, 2023
Η Euler έχει επίσης έρθει σε επαφή με κορυφαίες εταιρείες ανάλυσης και ασφάλειας blockchain εντός της αλυσίδας, όπως η TRM Labs, η Chainalysis και η ευρύτερη κοινότητα ασφαλείας ETH, σε μια προσπάθεια να τις βοηθήσει στην έρευνα και να ανακτήσουν τα κεφάλαια.
Ο Euler ενημέρωσε ότι προσπαθούν επίσης να επικοινωνήσουν με τους υπεύθυνους για την επίθεση προκειμένου να μάθουν περισσότερα σχετικά με το ζήτημα και πιθανώς να διαπραγματευτούν μια αμοιβή για την ανάκτηση των κλεμμένων κεφαλαίων.
Πηγή: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds