Euler Finance блокирует чувствительный модуль, работая над возвратом средств
Эйлер работает с желтком и компаниями, занимающимися безопасностью сбора, чтобы связаться с эксплуататорами и возвратом средств.
Протокол кредитования децентрализованного финансирования (DeFi) Euler Finance стал жертвой атаки на возврат кредитования 13 марта, что было осуществлено к глобальному взлому криптовалют в 2023 году. Протокол кредитования потерял почти 197 миллионов долларов в результате атаки, а также затронул более 11 других протоколов DeFi.
14 марта Euler опубликовал обновленную информацию о ситуации и уведомил своих пользователей о том, что они отключили подключаемый модуль etoken для блокировки депозитов и уязвимой функции пожертвований.
Online advertising service 1lx.online
Фирма заявила, что они работают с продуктами безопасности для проведения аудита ее протокола, а забота о коде была проверена и одобрена в ходе аудита внешнего вида. Уязвимость не была обнаружена в рамках аудита.
One of our auditing partners, @Omniscia_sec, prepared a technical post-mortem and analysed the attack in great detail. You can read their report here:https://t.co/u4Z2xdutwe
In short, the attacker exploited vulnerable code which allowed it to create an unbacked token debt… https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) March 14, 2023
Несмотря на вознаграждение за обнаружение ошибок в размере 1 миллиона, она не использовалась.
Шерлок, аудиторская группа, которая в прошлом работала с Euler Finance, заразилась причиной эксплойта и помогла Euler предъявить претензию. Протокол аудита позже проголосовал за иск на 4,5 миллиона долларов, который был принят, а затем 14 марта был произведен результат в размере 3,3 миллиона долларов.
Online advertising service 1lx.online
В своем аналитическом отчете аудиторская группа отметила существенный фактор эксплуатации: отсутствие проверки работоспособности в «donateToReserves», новой функции, добавленной в EIP-14. Однако в протоколе подчеркивалось, что техническая возможность атаки была даже до EIP-14.
Шерлок отметил, что аудит Эйлера, проведенный WatchPug в январе 2022 года, пропустил критическую уязвимость, которая в конечном итоге увидела к эксплойту в марте 2023 года.
Similarly, Sherlock stands behind every auditor who reviewed Euler.
Sherlock initially worked with @cmichelio to audit the first version of Euler in Dec 2021, then with @shw9453 to audit a very small update in Jan 2022, and finally with @WatchPug_ to audit EIP-14 in July 2022.
— SHERLOCK (@sherlockdefi) March 13, 2023
Эйлер также подвергся воздействию компаний, занимающихся аналитикой и безопасностью обнаружения, таких как TRM Labs, Chainalysis и более обширной сообществу безопасности ETH, чтобы помочь им в расследовании и возврате средств.
Эйлер сообщил, что они также обмениваются информацией с ответственными за атаку, чтобы узнать больше о проблемах и, возможно, договориться о вознаграждении за возврат украинских средств.
Online advertising service 1lx.online
