დეცენტრალიზებული ფინანსების (DeFi) დაკრედიტების პროტოკოლი Euler Finance 13 მარტს გახდა სწრაფი სესხის თავდასხმის მსხვერპლი, რის შედეგადაც 2023 წელს კრიპტოვალუტის ყველაზე დიდი გატეხვა მოხდა. სესხის გაცემის პროტოკოლმა დაკარგა თითქმის 197 მილიონი აშშ დოლარი თავდასხმის დროს და გავლენა მოახდინა 11-ზე მეტ სხვა DeFi პროტოკოლზეც.
14 მარტს, ეილერი გამოვიდა განახლებით სიტუაციის შესახებ და აცნობა თავის მომხმარებლებს, რომ მათ გამორთოთ დაუცველი Etoken მოდული დეპოზიტების და დაუცველი დონაციის ფუნქციის დასაბლოკად.
ფირმამ განაცხადა, რომ ისინი მუშაობენ უსაფრთხოების სხვადასხვა ჯგუფთან მისი პროტოკოლის აუდიტის შესასრულებლად, ხოლო დაუცველი კოდი განიხილეს და დამტკიცდა გარე აუდიტის დროს. დაუცველობა არ იქნა აღმოჩენილი აუდიტის ფარგლებში.
ჩვენი ერთ-ერთი აუდიტორული პარტნიორი, @Omniscia_sec, მოამზადა ტექნიკური მოკვლა და დეტალურად გააანალიზა თავდასხმა. მათი ანგარიში შეგიძლიათ წაიკითხოთ აქ: https://t.co/u4Z2xdutwe
მოკლედ, თავდამსხმელმა გამოიყენა დაუცველი კოდი, რამაც საშუალება მისცა შექმნას დაუფარავი სიმბოლური დავალიანება… https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) მარტი 14, 2023
დაუცველობა რვა თვის განმავლობაში რჩებოდა ჯაჭვში, სანამ არ გამოიყენებოდა, მიუხედავად იმისა, რომ ამ დროის განმავლობაში 1 მილიონი დოლარის ბონუტი იყო.
შერლოკმა, აუდიტორულმა ჯგუფმა, რომელიც წარსულში მუშაობდა Euler Finance-თან, გადაამოწმა ექსპლოიტის ძირითადი მიზეზი და დაეხმარა ეილერს საჩივრის წარდგენაში. აუდიტის პროტოკოლმა მოგვიანებით ჩაატარა კენჭისყრა 4.5 მილიონი აშშ დოლარის მოთხოვნის შესახებ, რომელიც მიიღეს და მოგვიანებით შესრულდა 3.3 მილიონი დოლარის გადახდა 14 მარტს.
აუდიტის ჯგუფმა, თავის საანალიზო ანგარიშში, აღნიშნა, რომ ექსპლოიტის მთავარი ფაქტორი იყო ჯანმრთელობის შემოწმება donateToReserves(-ში), ახალი ფუნქცია დამატებული EIP-14-ში. თუმცა, პროტოკოლში ხაზგასმული იყო, რომ შეტევა ტექნიკურად ჯერ კიდევ შესაძლებელი იყო EIP-14-ის არსებობამდეც კი.
დაკავშირებული: 280-ზე მეტ ბლოკჩეინს ემუქრება "ნულოვანი დღის" ექსპლოიტები, აფრთხილებს უსაფრთხოების ფირმა
შერლოკმა აღნიშნა, რომ 2022 წლის ივლისში WatchPug-ის მიერ Euler-ის აუდიტმა გამოტოვა კრიტიკული დაუცველობა, რამაც საბოლოოდ გამოიწვია ექსპლუატაცია 2023 წლის მარტში.
ანალოგიურად, შერლოკი დგას ყველა აუდიტორის უკან, ვინც განიხილა ეილერი.
შერლოკი თავდაპირველად მუშაობდა @cmichelio ეილერის პირველი ვერსიის აუდიტი 2021 წლის დეკემბერში, შემდეგ @shw9453 ძალიან მცირე განახლების აუდიტი 2022 წლის იანვარში და ბოლოს @WatchPug_ ჩაატაროს EIP-14 აუდიტი 2022 წლის ივლისში.
— შერლოკი (@sherlockdefi) მარტი 13, 2023
ეილერი ასევე დაუკავშირდა ანალიტიკურ და ბლოკჩეინის უსაფრთხოების წამყვან ფირმებს, როგორიცაა TRM Labs, Chainalysis და ETH უსაფრთხოების უფრო ფართო საზოგადოება, რათა დაეხმაროს მათ გამოძიებაში და თანხების აღდგენაში.
ეილერმა შეატყობინა, რომ ისინი ასევე ცდილობენ დაუკავშირდნენ თავდასხმაზე პასუხისმგებელ პირებს, რათა გაიგონ მეტი საკითხის შესახებ და, შესაძლოა, მოლაპარაკება მოჰყვეს ბონუსს მოპარული თანხების დასაბრუნებლად.
წყარო: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds