Das Kreditprotokoll für dezentralisierte Finanzen (DeFi) Euler Finance wurde am 13. März Opfer eines Flash-Darlehensangriffs, der zum bisher größten Krypto-Hack im Jahr 2023 führte. Das Kreditprotokoll verlor bei dem Angriff fast 197 Millionen US-Dollar und wirkte sich auch auf mehr als 11 andere DeFi-Protokolle aus.
Am 14. März veröffentlichte Euler ein Update zur Situation und teilte seinen Benutzern mit, dass sie das anfällige etoken-Modul deaktiviert hatten, um Einzahlungen und die anfällige Spendenfunktion zu blockieren.
Die Firma sagte, dass sie mit verschiedenen Sicherheitsgruppen zusammenarbeiten, um Audits ihres Protokolls durchzuführen, und der anfällige Code wurde während eines externen Audits überprüft und genehmigt. Die Schwachstelle wurde im Rahmen des Audits nicht entdeckt.
Einer unserer Prüfungspartner, @Omniscia_sec, erstellte eine technische Obduktion und analysierte den Angriff im Detail. Ihren Bericht können Sie hier lesen:https://t.co/u4Z2xdutwe
Kurz gesagt, der Angreifer nutzte einen anfälligen Code aus, der es ihm ermöglichte, eine nicht abgesicherte Token-Schuld zu erstellen… https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) 14. März 2023
Die Schwachstelle blieb acht Monate in der Kette, bis sie ausgenutzt wurde, obwohl eine Bug-Prämie von 1 Million US-Dollar aufgelegt wurde.
Sherlock, eine Audit-Gruppe, die in der Vergangenheit mit Euler Finance zusammengearbeitet hat, hat die Grundursache des Exploits überprüft und Euler dabei geholfen, eine Forderung einzureichen. Das Prüfungsprotokoll stimmte später über die Forderung in Höhe von 4,5 Millionen US-Dollar ab, die bestanden wurde, und führte später am 14. März eine Auszahlung in Höhe von 3,3 Millionen US-Dollar durch.
In ihrem Analysebericht stellte die Prüfgruppe einen wesentlichen Faktor für den Exploit fest: eine fehlende Gesundheitsprüfung in „donateToReserves“, einer neuen Funktion, die in EIP-14 hinzugefügt wurde. Das Protokoll betonte jedoch, dass der Angriff auch vor EIP-14 noch technisch möglich sei.
Verbunden: Mehr als 280 Blockchains sind von „Zero-Day“-Exploits bedroht, warnt ein Sicherheitsunternehmen
Sherlock stellte fest, dass das Euler-Audit von WatchPug im Juli 2022 die kritische Sicherheitslücke übersah, die schließlich im März 2023 zu dem Exploit führte.
Ebenso steht Sherlock hinter jedem Wirtschaftsprüfer, der Euler überprüft hat.
Sherlock arbeitete zunächst mit @cmichelio um die erste Version von Euler im Dez 2021 zu auditieren, dann mit @shw9453 ein sehr kleines Update im Januar 2022 zu auditieren, und endlich mit @WatchPug_ EIP-14 im Juli 2022 zu auditieren.
— SHERLOCK (@sherlockdefi) 13. März 2023
Euler hat sich auch an führende On-Chain-Analyse- und Blockchain-Sicherheitsfirmen wie TRM Labs, Chainalysis und die breitere ETH-Sicherheitsgemeinschaft gewandt, um ihnen bei der Untersuchung und Rückforderung der Gelder zu helfen.
Euler teilte mit, dass sie auch versuchen, die Verantwortlichen des Angriffs zu kontaktieren, um mehr über das Problem zu erfahren und möglicherweise ein Kopfgeld auszuhandeln, um die gestohlenen Gelder zurückzuerhalten.