O protocolo de empréstimo de finanças descentralizadas (DeFi) Euler Finance foi vítima de um ataque de empréstimo instantâneo em 13 de março, resultando no maior hack de criptografia em 2023 até agora. O protocolo de empréstimo perdeu quase US$ 197 milhões no ataque e também afetou mais de 11 outros protocolos DeFi.
Em 14 de março, Euler divulgou uma atualização sobre a situação e notificou seus usuários de que haviam desativado o módulo Etoken vulnerável para bloquear depósitos e a função de doação vulnerável.
A empresa disse que trabalha com vários grupos de segurança para realizar auditorias de seu protocolo, e o código vulnerável foi revisado e aprovado durante uma auditoria externa. A vulnerabilidade não foi descoberta como parte da auditoria.
Um de nossos parceiros de auditoria, @Omniscia_sec, preparou uma autópsia técnica e analisou detalhadamente o ataque. Você pode ler o relatório aqui: https://t.co/u4Z2xdutwe
Resumindo, o invasor explorou o código vulnerável que lhe permitiu criar uma dívida de token sem respaldo… https://t.co/FGnPqvYUGB
- Laboratórios Euler (@eulerfinance) 14 de março de 2023
A vulnerabilidade permaneceu na cadeia por oito meses até ser explorada, apesar de uma recompensa de bug de US$ 1 milhão estar em vigor durante esse período.
Sherlock, um grupo de auditoria que trabalhou com a Euler Finance no passado, verificou a causa raiz da exploração e ajudou a Euler a enviar uma reclamação. O protocolo de auditoria posteriormente realizou uma votação sobre a reivindicação de US$ 4.5 milhões, que foi aprovada e posteriormente executou um pagamento de US$ 3.3 milhões em 14 de março.
O grupo de auditoria, em seu relatório de análise, observou que um fator importante para a exploração foi uma verificação de integridade ausente em donateToReserves(), uma nova função adicionada ao EIP-14. No entanto, o protocolo enfatizou que o ataque ainda era tecnicamente possível mesmo antes da existência do EIP-14.
Relacionado: Mais de 280 blockchains em risco de exploits de 'dia zero', alerta empresa de segurança
Sherlock observou que a auditoria de Euler pela WatchPug em julho de 2022 perdeu a vulnerabilidade crítica que acabou levando à exploração em março de 2023.
Da mesma forma, Sherlock apoia todos os auditores que revisaram Euler.
Sherlock inicialmente trabalhou com @cmichelio para auditar a primeira versão do Euler em dezembro de 2021, então com @shw9453 para auditar uma atualização muito pequena em janeiro de 2022 e, finalmente, com @WatchPug_ para auditar o EIP-14 em julho de 2022.
-SHERLOCK (@sherlockdefi) 13 de março de 2023
A Euler também entrou em contato com as principais empresas analíticas on-chain e de segurança blockchain, como TRM Labs, Chainalysis e a comunidade de segurança ETH mais ampla, em uma tentativa de ajudá-los na investigação e recuperar os fundos.
Euler notificou que eles também estão tentando entrar em contato com os responsáveis pelo ataque para saber mais sobre o problema e possivelmente negociar uma recompensa para recuperar os fundos roubados.
Fonte: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds