Setelah dirampok sebesar $196 juta dalam serangan flash loan, Euler Finance meyakinkan peretasnya dalam waktu 25 hari untuk mengembalikan sebagian besar dana tersebut. Hasilnya adalah hasil dari banyak bolak-balik, yang pada akhirnya mengarahkan peretas untuk melakukan “hal yang benar”.
Pada 13 Maret, Euler Finance peretas melakukan banyak transaksiyang masing-masing menghabiskan jutaan dolar dalam berbagai token, termasuk DAI (AYO), mata uang USD (USDC), mempertaruhkan Eter (StETH) dan membungkus Bitcoin (WBTC).
Akibatnya, nilai total Euler yang terkunci di dalam smart contract-nya turun dari lebih dari $311 juta menjadi $10,37 juta. Pada akhirnya, 11 berbeda keuangan terdesentralisasi (DeFi) protokol, termasuk Balancer, Yearn Finance dan Yield Protocol, dana dibekukan atau hilang.
Pada pukul 10:00 UTC, kontributor Balancer menyadari eksploitasi di Euler. Ditentukan bahwa tindakan terbaik adalah menjeda dan menempatkan bbeUSD (Euler Boosted USD) dan semua kumpulan yang berisi bbeUSD ke mode pemulihan. Ini dilakukan oleh subDAO darurat pada pukul 11:00 UTC.
— Saldo (@Saldo) 13 Maret 2023
Keesokan harinya, 14 Maret, dia membawa Euler tindakan proaktif untuk pemulihan dana, yang mengakibatkan penonaktifan modul etoken yang rentan dan fitur donasi sebagai tindakan pertama. Selain itu, ia bekerja dengan firma akuntansi untuk menganalisis akar penyebab eksploitasi.
Salah satu mitra peninjau kami, @Omniscia_sec, menyiapkan otopsi teknis dan menganalisis serangan itu dengan sangat rinci. Anda dapat membaca laporan mereka di sini:https://t.co/u4Z2xdutwe
Singkatnya, penyerang mengeksploitasi kode rentan yang memungkinkannya membuat token utang tanpa jaminan…
—Euler Labs (@eulerfinance) 14 Maret 2023
Secara paralel, Euler mencoba menghubungi peretas untuk menegosiasikan hadiah. Pada 15 Maret, peretas menerima ultimatum untuk mengembalikan 90% dari dana yang dicuri dan mengancam akan mengumumkan hadiah $1 juta untuk informasi yang dapat mengarah pada penangkapan peretas. Kesepakatan ini akan memungkinkan peretas mendapatkan $19,6 juta.
Sebaliknya, peretas mulai memindahkan dana sesuka hati. Satu korban menerima 100 Ether (ETH) setelah meyakinkan peretas bahwa tabungan hidupnya hilang dalam peretasan Euler. Selama beberapa hari, peretas memulai mengembalikan dana yang dicurimasing-masing nilai variabel.
Di tengah kekacauan, CEO Euler Labs Michael Bentley mengungkapkan bahwa sepuluh audit terpisah yang dilakukan selama dua tahun dianggap sebagai protokol”tidak ada yang lebih tinggi dari risiko rendah” dan “tidak memiliki masalah luar biasa”.
Pada tanggal 21 Maret, Euler memberi hadiah $1 pada peretas setelah dia menjadi hantu di tengah percakapan ketika mencoba untuk menutup kesepakatan. Pada 25 Maret, peretas mulai mengembalikan barang curian dalam jumlah besar kami memiliki lebih banyak peluang.
23 hari setelah peretasan, pada 4 April, Euler Finance mengumumkan kemungkinan pemulihan penuh dari dana yang hilang, mengakhiri hadiah $1 juta. “Karena eksploit melakukan hal yang benar dan mengembalikan dana, dan kampanye hadiah $1 juta yang diluncurkan oleh Euler Foundation tidak akan lagi menerima informasi baru,” kata protokol tersebut.
Karena eksploit melakukan hal yang benar dan mengembalikan dana, dan kampanye hadiah $1 juta yang diluncurkan oleh Euler Foundation tidak akan lagi menerima informasi baru.
Info lengkap menyusul besok.
—Euler Labs (@eulerfinance) 3 April 2023
Dalam transaksi terakhir, peretas mendengar 12 juta DAI dan 10.580 ETH di beberapa transaksi. Komunitas cryptocurrency memuji upaya Euler Finance untuk memulihkan dana dan memulihkan kepercayaan investor.
Gnosis, tim di belakang Gnosis Safe multi-sig dan Gnosis Chain, baru-baru ini meluncurkan agregator hash oracle untuk meningkatkan keamanan bridge dengan mewajibkan lebih dari satu bridge untuk memvalidasi pick.
Seperti yang dilaporkan Cointelegraph, lebih dari $ 2 miliar telah dicuri dari jembatan pada tahun 2021 dan 2022, terutama karena bug dan serangan dompet.
Majalah: Huawei NFT, Toyota hackathon, Korea Utara vs. Blockchain: Asia Express