פרוטוקול ההלוואות של פיננסים מבוזרים (DeFi) Euler Finance הפך לקורבן של מתקפת הלוואות בזק ב-13 במרץ, וכתוצאה מכך הפריצה הגדולה ביותר לקריפטו ב-2023 עד כה. פרוטוקול ההלוואות הפסיד כמעט 197 מיליון דולר במתקפה והשפיע גם על יותר מ-11 פרוטוקולי DeFi אחרים.
ב-14 במרץ, אוילר יצא עם עדכון על המצב והודיע למשתמשים שלו שהם השבתו את מודול Etoken הפגיע כדי לחסום הפקדות ואת פונקציית התרומות הפגיעות.
מהמשרד נמסר כי הם עובדים עם קבוצות אבטחה שונות כדי לבצע ביקורת על הפרוטוקול שלה, והקוד הפגיע נבדק ואושר במהלך ביקורת חיצונית. הפגיעות לא התגלתה במסגרת הביקורת.
אחד משותפי הביקורת שלנו, @Omniscia_sec, הכין נתיחה טכנית שלאחר המוות וניתח את המתקפה לפרטי פרטים. אתה יכול לקרוא את הדו"ח שלהם כאן: https://t.co/u4Z2xdutwe
בקיצור, התוקף ניצל קוד פגיע שאפשר לו ליצור חוב אסימון לא מגובה... https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) במרץ 14, 2023
הפגיעות נשארה בשרשרת במשך שמונה חודשים עד שנוצלה, למרות פרס באג של מיליון דולר שהיה במקום במהלך תקופה זו.
שרלוק, קבוצת ביקורת שעבדה עם אוילר פיננסים בעבר, אימתה את שורש הניצול ועזרה לאולר להגיש תביעה. פרוטוקול הביקורת ערך מאוחר יותר הצבעה על התביעה על סך 4.5 מיליון דולר, שהתקבלה ולאחר מכן הוציאה לפועל תשלום של 3.3 מיליון דולר ב-14 במרץ.
קבוצת הביקורת, בדוח הניתוח שלה, ציינה שגורם מרכזי לניצול היה בדיקת תקינות חסרה ב-donateToReserves(), פונקציה חדשה שנוספה ב-EIP-14. עם זאת, הפרוטוקול הדגיש כי המתקפה עדיין אפשרית מבחינה טכנית עוד לפני קיומו של EIP-14.
קשורים: יותר מ-280 בלוקצ'יין בסיכון לניצול "יום אפס", מזהירה חברת אבטחה
שרלוק ציין שביקורת אוילר על ידי WatchPug ביולי 2022 פספסה את הפגיעות הקריטית שהובילה בסופו של דבר לניצול במרץ 2023.
באופן דומה, שרלוק עומד מאחורי כל מבקר שבדק את אוילר.
שרלוק עבד בהתחלה עם @cmichelio לבדוק את הגרסה הראשונה של אוילר בדצמבר 2021, ואז עם @shw9453 לבדוק עדכון קטן מאוד בינואר 2022, ולבסוף עם @WatchPug_ לבצע ביקורת על EIP-14 ביולי 2022.
— SHERLOCK (@sherlockdefi) במרץ 13, 2023
אוילר גם פנה לחברות אנליטיות ואבטחת בלוקצ'יין מובילות ברשת, כגון TRM Labs, Chainalysis וקהילת האבטחה הרחבה יותר של ETH, במטרה לעזור להן בחקירה ולהחזיר את הכספים.
אוילר הודיע כי הם גם מנסים ליצור קשר עם האחראים למתקפה על מנת ללמוד עוד על הנושא ואולי לנהל משא ומתן על פרס כדי להחזיר את הכספים הגנובים.
מקור: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds