去中心化金融 (DeFi) 借貸協議 Euler Finance 於 13 月 2023 日成為閃貸攻擊的受害者,導致了 197 年迄今為止最大的加密貨幣黑客攻擊。 貸款協議在攻擊中損失了近 11 億美元,並且還影響了超過 XNUMX 個其他 DeFi 協議。
14 月 XNUMX 日,Euler 發布了最新情況,並通知其用戶他們已經禁用了易受攻擊的 Etoken 模塊來阻止存款和易受攻擊的捐贈功能。
該公司表示,他們與各種安全組織合作對其協議進行審計,並在外部審計期間審查並批准了易受攻擊的代碼。 該漏洞未作為審計的一部分被發現。
我們的審計合作夥伴之一, @Omniscia_sec,準備了一份技術事後分析報告,並對這次攻擊進行了非常詳細的分析。 你可以在這裡閱讀他們的報告:https://t.co/u4Z2xdutwe
簡而言之,攻擊者利用了易受攻擊的代碼,使其能夠創建無擔保的代幣債務……https://t.co/FGnPqvYUGB
— 歐拉實驗室 (@eulerfinance) 2023 年 3 月 14 日
該漏洞在鏈上保留了八個月,直到被利用為止,儘管在此期間有 1 萬美元的漏洞賞金。
過去曾與 Euler Finance 合作的審計小組 Sherlock 驗證了漏洞利用的根本原因,並幫助 Euler 提交了索賠。 審計協議隨後就 4.5 萬美元的索賠進行了投票,該協議獲得通過,隨後於 3.3 月 14 日執行了 XNUMX 萬美元的支付。
審計小組在其分析報告中指出,該漏洞利用的一個主要因素是 donateToReserves() 中缺少健康檢查,這是 EIP-14 中添加的新功能。 然而,該協議強調,即使在 EIP-14 存在之前,攻擊在技術上仍然是可能的。
相關:安全公司警告稱,超過 280 個區塊鏈存在“零日”攻擊風險
Sherlock 指出,WatchPug 在 2022 年 2023 月進行的 Euler 審計遺漏了最終導致 XNUMX 年 XNUMX 月被利用的關鍵漏洞。
同樣,Sherlock 支持每一位審查 Euler 的審計員。
Sherlock最初與 @cmichelio 在 2021 年 XNUMX 月審核 Euler 的第一個版本,然後使用 @shw9453 在 2022 年 XNUMX 月審計一個非常小的更新,最後 @WatchPug_ 於 14 年 2022 月審核 EIP-XNUMX。
——夏洛克 (@sherlockdefi) 2023 年 3 月 13 日
Euler 還聯繫了領先的鏈上分析和區塊鏈安全公司,例如 TRM Labs、Chainalysis 和更廣泛的 ETH 安全社區,以幫助他們進行調查並收回資金。
Euler 通知說,他們還在嘗試聯繫對此次攻擊負責的人,以了解有關該問題的更多信息,並可能通過談判獲得賞金以追回被盜資金。
來源:https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds