Merkezi olmayan finans (DeFi) borç verme protokolü Euler Finance, 13 Mart'ta ani bir kredi saldırısının kurbanı oldu ve 2023'te şimdiye kadarki en büyük kripto hack'iyle sonuçlandı. Borç verme protokolü saldırıda yaklaşık 197 milyon dolar kaybetti ve 11'den fazla başka DeFi protokolünü de etkiledi.
14 Mart'ta Euler, durumla ilgili bir güncelleme yayınladı ve kullanıcılarına, savunmasız Etoken modülünü mevduatları ve savunmasız bağış işlevini engellemek için devre dışı bıraktıklarını bildirdi.
Firma, protokolünün denetimlerini gerçekleştirmek için çeşitli güvenlik gruplarıyla çalıştıklarını ve savunmasız kodun bir dış denetim sırasında incelenip onaylandığını söyledi. Güvenlik açığı, denetimin bir parçası olarak keşfedilmedi.
Denetim ortaklarımızdan biri, @Omniscia_sec, teknik otopsi hazırlayarak saldırıyı tüm detaylarıyla inceledi. Raporlarını buradan okuyabilirsiniz: https://t.co/u4Z2xdutwe
Kısacası, saldırgan, savunmasız bir koddan yararlanarak, desteklenmemiş bir token borcu oluşturmasına izin verdi… https://t.co/FGnPqvYUGB
— Euler Laboratuvarları (@eulerfinance) 14 Mart, 2023
Güvenlik açığı, bu süre zarfında 1 milyon dolarlık bir hata ödülü verilmesine rağmen, istismar edilene kadar sekiz ay boyunca zincirde kaldı.
Geçmişte Euler Finance ile çalışan bir denetim grubu olan Sherlock, açıktan yararlanmanın temel nedenini doğruladı ve Euler'in bir hak talebinde bulunmasına yardımcı oldu. Denetim protokolü daha sonra 4.5 milyon dolarlık talep için bir oylama yaptı, bu oylama kabul edildi ve daha sonra 3.3 Mart'ta 14 milyon dolarlık bir ödeme yapıldı.
Denetim grubu, analiz raporunda, istismar için önemli bir faktörün, EIP-14'te eklenen yeni bir işlev olan donateToReserves()'te eksik bir sağlık denetimi olduğunu belirtti. Ancak protokol, saldırının EIP-14'ün varlığından önce bile teknik olarak mümkün olduğunu vurguladı.
İlgili: 280'den fazla blok zinciri 'sıfır gün' açıklarından yararlanma riskiyle karşı karşıya, güvenlik firmasını uyardı
Sherlock, Temmuz 2022'de WatchPug tarafından yapılan Euler denetiminin, sonunda Mart 2023'te açıktan yararlanmaya yol açan kritik güvenlik açığını kaçırdığını belirtti.
Benzer şekilde Sherlock, Euler'i inceleyen her denetçinin arkasında durur.
Sherlock başlangıçta birlikte çalıştı @cmichelio Aralık 2021'de Euler'in ilk sürümünü denetlemek için @shw9453 Ocak 2022'de çok küçük bir güncellemeyi denetlemek ve son olarak @WatchPug_ Temmuz 14'de EIP-2022'ü denetlemek için.
- SHERLOCK (@sherlockdefi) 13 Mart, 2023
Euler ayrıca soruşturmada onlara yardımcı olmak ve fonları geri almak için TRM Labs, Chainalysis ve daha geniş ETH güvenlik topluluğu gibi önde gelen zincir üstü analitik ve blok zinciri güvenlik firmalarına ulaştı.
Euler, konu hakkında daha fazla bilgi edinmek ve muhtemelen çalınan fonları geri almak için bir ödül için pazarlık yapmak üzere saldırıdan sorumlu olanlarla iletişime geçmeye çalıştıklarını da bildirdi.
Kaynak: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds