Das Kreditprotokoll für dezentralisierte Finanzen (DeFi) Euler Finance wurde am 13. März Opfer eines Flash-Darlehensangriffs, der zum bisher größten Krypto-Hack im Jahr 2023 führte. Das Kreditprotokoll verlor bei dem Angriff fast 197 Millionen US-Dollar und wirkte sich auch auf mehr als 11 andere DeFi-Protokolle aus.
Am 14. März veröffentlichte Euler ein Update zur Situation und teilte seinen Benutzern mit, dass sie das anfällige Etoken-Modul deaktiviert hatten, um Einzahlungen und die anfällige Spendenfunktion zu blockieren.
Die Firma sagte, dass sie mit verschiedenen Sicherheitsgruppen zusammenarbeiten, um Audits ihres Protokolls durchzuführen, und der anfällige Code wurde während eines externen Audits überprüft und genehmigt. Die Schwachstelle wurde im Rahmen des Audits nicht entdeckt.
Einer unserer Prüfungspartner, @Omniscia_sec, erstellte eine technische Obduktion und analysierte den Angriff im Detail. Sie können ihren Bericht hier lesen: https://t.co/u4Z2xdutwe
Kurz gesagt, der Angreifer nutzte anfälligen Code aus, der es ihm ermöglichte, eine nicht abgesicherte Token-Schuld zu erstellen… https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) 14. März 2023
Die Schwachstelle blieb acht Monate in der Kette, bis sie ausgenutzt wurde, obwohl während dieser Zeit eine Bug-Prämie von 1 Million US-Dollar ausgesetzt war.
Sherlock, eine Audit-Gruppe, die in der Vergangenheit mit Euler Finance zusammengearbeitet hat, hat die Grundursache des Exploits überprüft und Euler dabei geholfen, eine Forderung einzureichen. Das Prüfungsprotokoll enthielt später eine Abstimmung über die Forderung in Höhe von 4.5 Millionen US-Dollar, die angenommen und später am 3.3. März eine Auszahlung in Höhe von 14 Millionen US-Dollar vorgenommen wurde.
Die Audit-Gruppe stellte in ihrem Analysebericht fest, dass ein wesentlicher Faktor für den Exploit eine fehlende Gesundheitsprüfung in donateToReserves() war, einer neuen Funktion, die in EIP-14 hinzugefügt wurde. Das Protokoll betonte jedoch, dass der Angriff auch vor der Existenz von EIP-14 noch technisch möglich war.
Verbunden: Mehr als 280 Blockchains sind von „Zero-Day“-Exploits bedroht, warnt ein Sicherheitsunternehmen
Sherlock stellte fest, dass das Euler-Audit von WatchPug im Juli 2022 die kritische Sicherheitslücke übersah, die schließlich im März 2023 zu dem Exploit führte.
Ebenso steht Sherlock hinter jedem Wirtschaftsprüfer, der Euler überprüft hat.
Sherlock arbeitete zunächst mit @cmichelio um die erste Version von Euler im Dez 2021 zu auditieren, dann mit @shw9453 ein sehr kleines Update im Januar 2022 zu auditieren, und endlich mit @WatchPug_ EIP-14 im Juli 2022 zu auditieren.
– SHERLOCK (@sherlockdefi) 13. März 2023
Euler hat sich auch an führende On-Chain-Analyse- und Blockchain-Sicherheitsfirmen wie TRM Labs, Chainalysis und die breitere ETH-Sicherheitsgemeinschaft gewandt, um ihnen bei der Untersuchung und Rückforderung der Gelder zu helfen.
Euler teilte mit, dass sie auch versuchen, die Verantwortlichen des Angriffs zu kontaktieren, um mehr über das Problem zu erfahren und möglicherweise ein Kopfgeld auszuhandeln, um die gestohlenen Gelder zurückzuerhalten.
Quelle: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds