Ապակենտրոնացված ֆինանսների (DeFi) վարկավորման արձանագրություն Euler Finance-ը մարտի 13-ին դարձել է արագ վարկային հարձակման զոհ, ինչը հանգեցրել է մինչ այժմ կրիպտոյի ամենամեծ կոտրմանը: Հարձակման արդյունքում վարկավորման արձանագրությունը կորցրեց գրեթե 2023 միլիոն դոլար և ազդեց ավելի քան 197 այլ DeFi արձանագրությունների վրա:
Մարտի 14-ին Էյլերը հանդես եկավ իրավիճակի թարմացումով և տեղեկացրեց իր օգտատերերին, որ նրանք անջատել են խոցելի Etoken մոդուլը՝ ավանդները և խոցելի նվիրատվության գործառույթը արգելափակելու համար:
Ընկերությունն ասաց, որ իրենք աշխատում են անվտանգության տարբեր խմբերի հետ՝ իր արձանագրության աուդիտ իրականացնելու համար, և խոցելի ծածկագիրը վերանայվել և հաստատվել է արտաքին աուդիտի ժամանակ: Աուդիտի շրջանակներում խոցելիությունը չի հայտնաբերվել:
Մեր աուդիտորական գործընկերներից մեկը, @Omniscia_sec, պատրաստել է տեխնիկական հետմահու և շատ մանրամասն վերլուծել հարձակումը։ Նրանց զեկույցը կարող եք կարդալ այստեղ՝ https://t.co/u4Z2xdutwe
Մի խոսքով, հարձակվողը շահագործել է խոցելի ծածկագիրը, որը թույլ է տվել նրան ստեղծել չապահովված խորհրդանշական պարտք… https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) Մարտի 14, 2023
Խոցելիությունը մնաց շղթայի վրա ութ ամիս, մինչև այն շահագործվեց, չնայած այդ ընթացքում 1 միլիոն դոլար արժողությամբ վրիպակների պարգևավճար էր սահմանվել:
Շերլոկը՝ աուդիտորական խումբ, որը նախկինում աշխատել է Euler Finance-ի հետ, ստուգել է շահագործման հիմնական պատճառը և օգնել Էյլերին հայց ներկայացնել: Հետագայում աուդիտի արձանագրությունը քվեարկություն անցկացրեց 4.5 միլիոն դոլարի պահանջի վերաբերյալ, որն ընդունվեց և ավելի ուշ կատարվեց 3.3 միլիոն դոլարի վճարում մարտի 14-ին:
Աուդիտորական խումբն իր վերլուծության զեկույցում նշել է, որ շահագործման հիմնական գործոնը donateToReserves(-ում) բացակայող առողջության ստուգումն էր, որը նոր գործառույթ ավելացվել է EIP-14-ում: Այդուհանդերձ, արձանագրությունում ընդգծվում էր, որ հարձակումը տեխնիկապես հնարավոր էր դեռևս մինչև EIP-14-ի գոյությունը։
Առնչվող․ ավելի քան 280 բլոկչեյններ կանգնած են «զրոյական օրվա» շահագործման վտանգի տակ, զգուշացնում է անվտանգության ընկերությունը
Շերլոկը նշել է, որ 2022 թվականի հուլիսին WatchPug-ի կողմից անցկացված Euler աուդիտը բաց թողեց այն կարևոր խոցելիությունը, որն ի վերջո հանգեցրեց շահագործման 2023 թվականի մարտին:
Նմանապես, Շերլոկը կանգնած է յուրաքանչյուր աուդիտորի հետևում, ով վերանայել է Էյլերին:
Շերլոկը սկզբում աշխատել է հետ @cmichelio Էյլերի առաջին տարբերակի աուդիտ անցկացնել 2021 թվականի դեկտեմբերին, այնուհետև @shw9453 2022 թվականի հունվարին ստուգել շատ փոքր թարմացում և վերջապես @WatchPug_ EIP-14-ի աուդիտ իրականացնել 2022 թվականի հուլիսին:
— ՇԵՐԼՈԿ (@sherlockdefi) Մարտի 13, 2023
Euler-ը նաև դիմել է շղթայական վերլուծական և բլոկչեյն անվտանգության առաջատար ընկերություններին, ինչպիսիք են TRM Labs-ը, Chainalysis-ը և ETH անվտանգության ավելի լայն համայնքը՝ փորձելով օգնել նրանց հետաքննության և վերականգնելու միջոցները:
Էյլերը տեղեկացրեց, որ իրենք նաև փորձում են կապ հաստատել հարձակման համար պատասխանատուների հետ՝ խնդրի մասին ավելին իմանալու և, հնարավոր է, գողացված միջոցները վերականգնելու պարգևի շուրջ բանակցելու համար:
Աղբյուր՝ https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds