Protokol pinjaman keuangan terdesentralisasi (DeFi) Euler Finance menjadi korban serangan flash lending pada 13 Maret, yang menyebabkan peretasan cryptocurrency terbesar di tahun 2023 sampai sekarang. Protokol Pinjaman kehilangan hampir $197 juta dalam serangan itu dan lebih berdampak daripada Juga 11 protokol DeFi lainnya.
Pada 14 Maret, Euler mengeluarkan pembaruan tentang situasi tersebut dan memberi tahu penggunanya bahwa modul Etoken yang rentan telah dinonaktifkan untuk memblokir setoran dan fungsi donasi yang rentan.
Perusahaan mengatakan sedang bekerja dengan berbagai kelompok keamanan untuk mengaudit protokolnya, dan kode yang rentan ditinjau dan disetujui selama audit eksternal. Kerentanan tidak ditemukan selama audit.
Salah satu mitra peninjau kami, @Omniscia_sec, menyiapkan otopsi teknis dan menganalisis serangan itu dengan sangat rinci. Anda dapat membaca laporan mereka di sini:https://t.co/u4Z2xdutwe
Singkatnya, penyerang mengeksploitasi kode rentan yang memungkinkannya membuat token utang tanpa jaminan… https://t.co/FGnPqvYUGB
—Euler Labs (@eulerfinance) 14 Maret 2023
Kerentanan tetap on-chain selama delapan bulan sampai dieksploitasi, meskipun hadiah bug $ 1 juta diterapkan selama waktu itu.
Sherlock, tim audit yang pernah bekerja sama dengan Euler Finance, menyelidiki akar penyebab eksploit dan membantu Euler mengajukan keluhan. Protokol Audit kemudian mengadakan pemungutan suara atas permintaan $4,5 juta, yang disetujui dan kemudian melakukan pembayaran $3,3 juta pada tanggal 14 Maret.
Tim audit mencatat dalam laporan analisisnya bahwa faktor utama dalam eksploitasi adalah pemeriksaan kesehatan yang hilang di donateToReserves(), sebuah fungsi baru yang ditambahkan di EIP-14. Namun, protokol tersebut menekankan bahwa serangan itu secara teknis masih mungkin terjadi bahkan sebelum EIP-14 ada.
Terkait: Lebih dari 280 blockchain berisiko dieksploitasi “zero-day”, perusahaan keamanan memperingatkan
Sherlock mencatat bahwa audit WatchPug terhadap Euler pada Juli 2022 melewatkan kerentanan kritis yang pada akhirnya menyebabkan eksploitasi pada Maret 2023.
Demikian pula, Sherlock mendukung setiap pengulas yang telah mengulas Euler.
Sherlock awalnya bekerja dengan @cmichelio untuk memeriksa rilis pertama Euler pada Desember 2021, lalu dengan @shw9453 untuk memeriksa pembaruan yang sangat kecil pada Januari 2022 dan terakhir dengan @MenontonPug_ untuk audit EIP-14 pada Juli 2022.
— SHERLOCK (@sherlockdefi) 13 Maret 2023
Euler juga telah menjangkau perusahaan keamanan blockchain dan analitik besar, seperti TRM Labs, Chainalysis, dan komunitas keamanan ETH yang lebih luas, dalam upaya membantu mereka dalam penyelidikan dan memulihkan dana.
Euler mengatakan mereka juga mencoba menghubungi mereka yang bertanggung jawab atas serangan itu untuk mengetahui lebih lanjut tentang masalah tersebut dan kemungkinan merundingkan hadiah untuk memulihkan dana yang dicuri.