Omniscia, o parceiro de auditoria da Euler Finance, divulgou um relatório post-mortem sobre o mesmo, afirmando que a vulnerabilidade explorada pelos hackers mal-intencionados se originou do mecanismo de doação incorreto do protocolo de empréstimo financeiro descentralizado que falhou ao não contabilizar a saúde da dívida do doador .
O código vulnerável introduzido no eIP-14 trouxe diversas modificações em todo o ecossistema Euler. Isso permitiu que o invasor criasse uma posição superalavancada e liquidasse-a no mesmo bloco, fazendo-a artificialmente ficar "submersa", disse a empresa em um comunicado.
- O recurso no centro da vulnerabilidade não estava no escopo de nenhuma auditoria realizada pela Omniscia.
- Uma auditoria externa foi responsável por revisar o código vulnerável, que posteriormente foi aprovado.
- No entanto, a vulnerabilidade não foi descoberta como parte dessa auditoria e permaneceu na cadeia por oito meses até ser explorada em 13 de março, apesar de uma recompensa de bug de $ 1 milhão em vigor.
- O módulo etoken defeituoso foi desativado para evitar depósitos e a função de doação vulnerável.
- Após o ataque, o protocolo DeFi revelou trabalhar com vários grupos de segurança para realizar auditorias e também recorreu às agências policiais para recuperar os fundos.
“Estamos arrasados com o efeito desse ataque aos usuários do protocolo Euler e continuaremos a trabalhar com nossos parceiros de segurança, autoridades policiais e a comunidade em geral para resolver isso da melhor maneira possível. Muito obrigado por seu apoio e incentivo.”
Binance Grátis $ 100 (Exclusivo): Use este link para se registrar e receber $ 100 grátis e 10% de desconto nas taxas Binance Futures no primeiro mês (termos).
Oferta Especial PrimeXBT: Use este link para se registrar e inserir o código POTATO50 para receber até $ 7,000 em seus depósitos.
Fonte: https://cryptopotato.com/euler-finance-flash-loan-exploit-vulnerability-remained-on-chain-for-8-months/