Протокол за позајмљивање децентрализованих финансија (ДеФи) Еулер Финанце је постао жртва напада на брзу позајмицу 13. марта, што је резултирало највећим хаком криптовалута у 2023. до сада. Протокол позајмљивања изгубио је скоро 197 милиона долара у нападу и утицао на више од 11 других ДеФи протокола.
Дана 14. марта, Еулер је изашао са ажурирањем ситуације и обавестио своје кориснике да су онемогућили рањиви Етокен модул за блокирање депозита и рањиву функцију донација.
Фирма је рекла да сарађују са различитим безбедносним групама на вршењу ревизије свог протокола, а рањиви код је прегледан и одобрен током спољне ревизије. Рањивост није откривена у оквиру ревизије.
Један од наших партнера у ревизији, @Омнисциа_сец, припремио техничку обдукцију и детаљно анализирао напад. Њихов извештај можете прочитати овде: хттпс://т.цо/у4З2кдутве
Укратко, нападач је искористио рањиви код који му је омогућио да створи неподржани токен дуг… хттпс://т.цо/ФГнПквИУГБ
— Еулер Лабс (@еулерфинанце) Март КСНУМКС, КСНУМКС
Рањивост је остала на ланцу осам месеци док није искоришћена, упркос томе што је за то време била на снази награда од милион долара.
Схерлоцк, ревизорска група која је у прошлости радила са Еулер Финанце, потврдила је основни узрок експлоатације и помогла Еулеру да поднесе тужбу. Протокол ревизије је касније одржао гласање о потраживању од 4.5 милиона долара, које је усвојено и касније извршено исплату од 3.3 милиона долара 14. марта.
Група за ревизију је у свом извештају о анализи приметила да је главни фактор за експлоатацију недостајућа провера здравља у донатеТоРесервес(), новој функцији додатој у ЕИП-14. Међутим, у протоколу је наглашено да је напад био технички могућ чак и пре постојања ЕИП-14.
Повезано: Више од 280 блокчејнова у опасности од експлоатације 'нултог дана', упозорава безбедносна фирма
Шерлок је приметио да је Ојлерова ревизија коју је урадила ВатцхПуг у јулу 2022. пропустила критичну рањивост која је на крају довела до експлоатације у марту 2023.
Слично, Шерлок стоји иза сваког ревизора који је прегледао Ојлера.
Шерлок је у почетку радио са @цмицхелио да изврши ревизију прве верзије Ојлера у децембру 2021, а затим са @схв9453 да изврши ревизију веома малог ажурирања у јануару 2022. и коначно са @ВатцхПуг_ да изврши ревизију ЕИП-14 у јулу 2022.
— ШЕРЛОК (@схерлоцкдефи) Март КСНУМКС, КСНУМКС
Ојлер је такође посегнуо за водећим компанијама за анализу на ланцу и блокчејн безбедности, као што су ТРМ Лабс, Цхаиналисис и шира ЕТХ безбедносна заједница, у покушају да им помогне у истрази и поврату средстава.
Ојлер је обавестио да такође покушавају да контактирају оне који су одговорни за напад како би сазнали више о том питању и евентуално преговарали о награди за повраћај украдених средстава.
Извор: хттпс://цоинтелеграпх.цом/невс/еулер-финанце-блоцкс-вулнерабле-модуле-воркинг-он-рецоверинг-фундс