Орталықтандырылмаған қаржы (DeFi) несие беру хаттамасы Euler Finance 13 наурызда несиелік шабуылдың құрбаны болды, нәтижесінде 2023 жылы криптоның ең үлкен бұзылуы болды. Қарыз беру хаттамасы шабуылда шамамен 197 миллион доллар жоғалтты және 11-ден астам DeFi протоколдарына да әсер етті.
14 наурызда Эйлер жағдайды жаңартып, өз пайдаланушыларына депозиттерді блоктау үшін осал Etoken модулін және осал қайырымдылық функциясын өшіргенін хабарлады.
Фирма оның хаттамасына аудит жүргізу үшін әртүрлі қауіпсіздік топтарымен жұмыс істейтінін және осал код сыртқы аудит кезінде қаралып, бекітілгенін айтты. Аудиттің бөлігі ретінде осалдық анықталмады.
Біздің аудиторлық серіктестеріміздің бірі, @Omniscia_sec, техникалық өлім-жітім дайындап, шабуылды егжей-тегжейлі талдады. Сіз олардың есебін мына жерден оқи аласыз: https://t.co/u4Z2xdutwe
Қысқаша айтқанда, шабуылдаушы осал кодты пайдаланды, бұл оған қорғалмаған маркер қарызын жасауға мүмкіндік берді… https://t.co/FGnPqvYUGB
— Эйлер зертханасы (@eulerfinance) Наурыз 14, 2023
Осы уақыт ішінде 1 миллион долларлық қате сыйақы болғанына қарамастан, осалдық пайдаланылғанға дейін сегіз ай бойы тізбекте қалды.
Бұрын Euler Finance-пен жұмыс істеген Шерлок аудит тобы эксплуатацияның түпкі себебін тексеріп, Эйлерге шағым беруге көмектесті. Аудит хаттамасында кейінірек 4.5 миллион долларға шағым бойынша дауыс беру өтті, ол қабылданып, кейінірек 3.3 наурызда 14 миллион доллар төлеу орындалды.
Аудит тобы өзінің талдау есебінде эксплуаттың негізгі факторы EIP-14 жүйесіне қосылған жаңа функция donateToReserves() жүйесінде денсаулықты тексерудің болмауы екенін атап өтті. Дегенмен, хаттамада EIP-14 болғанға дейін шабуылдың техникалық мүмкін екендігі атап өтілді.
Қатысты: Қауіпсіздік фирмасы ескертеді: 280-ден астам блокчейн «нөлдік күндік» эксплуатация қаупі бар
Шерлок 2022 жылдың шілдесінде WatchPug жүргізген Эйлер аудиті 2023 жылдың наурызында эксплуатацияға әкелген маңызды осалдықты жіберіп алғанын атап өтті.
Сол сияқты Шерлок Эйлерді тексерген әрбір аудитордың артында тұрады.
Шерлок бастапқыда онымен жұмыс істеді @cmichelio 2021 жылдың желтоқсанында Эйлердің бірінші нұсқасын тексеру, содан кейін бірге @shw9453 2022 жылдың қаңтарында өте кішігірім жаңартуды тексеру және соңында @WatchPug_ 14 жылдың шілдесінде EIP-2022 аудитін өткізу.
— ШЕРЛОК (@sherlockdefi) Наурыз 13, 2023
Эйлер сонымен қатар TRM Labs, Chainalysis және ETH қауіпсіздік қоғамдастығы сияқты жетекші аналитикалық және блокчейндік қауіпсіздік фирмаларына тергеу жүргізуге және қаражатты қалпына келтіруге көмектесу үшін хабарласты.
Эйлер бұл мәселе туралы көбірек білу және ұрланған қаражатты қайтару үшін сыйақы алу үшін келіссөздер жүргізу үшін шабуылға жауапты адамдармен байланысуға тырысатынын хабарлады.
Дереккөз: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds