Finantza deszentralizatuak (DeFi) mailegu-protokoloa Euler Finance mailegu-eraso baten biktima izan zen martxoaren 13an, eta ondorioz 2023an kriptoen hackik handiena izan zen. Mailegu-protokoloak ia 197 milioi dolar galdu zituen erasoan eta beste 11 DeFi protokoloetan ere eragin zuen.
Martxoaren 14an, Euler-ek egoerari buruzko eguneraketa bat eman zuen eta erabiltzaileei jakinarazi zien Etoken modulu zaurgarria desgaitu zutela gordailuak blokeatzeko eta dohaintza ahuleko funtzioa.
Enpresak esan zuen segurtasun talde ezberdinekin lan egiten dutela bere protokoloaren auditoretzak egiteko, eta kode zaurgarria kanpoko auditoria batean berrikusi eta onartu zen. Ahultasuna ez da ikuskaritzaren zati gisa aurkitu.
Gure auditoretzako bazkideetako bat, @Omniscia_sec, post-mortem teknikoa prestatu eta erasoa xehetasun handiz aztertu zuen. Hemen irakur dezakezu haien txostena: https://t.co/u4Z2xdutwe
Laburbilduz, erasotzaileak kode zaurgarria ustiatu zuen eta horri esker babestu gabeko token zorra sortu zen... https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) Martxoaren 14, 2023
Zaurgarritasuna katean egon zen zortzi hilabetez ustiatu arte, denbora horretan milioi dolar akatsen saria egon arren.
Sherlock-ek, iraganean Euler Finance-rekin lan egin duen ikuskaritza-taldeak, ustiapenaren arrazoia egiaztatu zuen eta Euler-i erreklamazioa aurkezten lagundu zion. Ikuskaritza-protokoloak 4.5 milioi dolarreko erreklamazioari buruzko bozketa egin zuen gero, martxoaren 3.3an 14 milioi dolarreko ordainketa egin zuen.
Ikuskaritza-taldeak, bere analisi-txostenean, adierazi zuen ustiapenaren faktore garrantzitsu bat donateToReserves(en) osasun-kontrola falta zela, EIP-14-n gehitutako funtzio berri bat. Hala ere, protokoloak azpimarratu zuen erasoa teknikoki posible zela oraindik ere EIP-14 existitu aurretik.
Lotutakoa: 280 bloke-kate baino gehiago "zero eguneko" ustiapen arriskuan daudenak, ohartarazi du segurtasun enpresak
Sherlock-ek adierazi zuen 2022ko uztailean WatchPug-ek egindako Euler-en ikuskaritzak 2023ko martxoan ustiapena ekarri zuen ahultasun kritikoa galdu zuela.
Era berean, Sherlock Euler berrikusi duten auditore bakoitzaren atzean dago.
Sherlock-ek hasieran lan egin zuen @cmichelio 2021eko abenduan Euler-en lehen bertsioa ikuskatzeko, ondoren @shw9453 2022ko urtarrilean oso eguneratze txiki bat ikuskatzeko, eta azkenik @WatchPug_ EIP-14 ikuskatzeko 2022ko uztailean.
— SHERLOCK (@sherlockdefi) Martxoaren 13, 2023
Euler-ek kate analitiko eta blockchain segurtasun-enpres nagusiekin ere harremanetan jarri da, hala nola TRM Labs, Chainalysis eta ETH segurtasun komunitate zabalagoarekin, ikerketan laguntzeko eta fondoak berreskuratzeko asmoz.
Euler-ek jakinarazi zuen erasoaren arduradunekin ere harremanetan jartzen saiatzen ari direla, arazoari buruz gehiago jakiteko eta, agian, lapurtutako funtsak berreskuratzeko sari bat negoziatzeko.
Iturria: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds