分散型金融 (DeFi) 融資プロトコル Euler Finance は、13 月 2023 日にフラッシュ ローン攻撃の犠牲者となり、197 年にこれまでで最大の仮想通貨ハッキングを引き起こしました。 レンディング プロトコルは、この攻撃で約 11 億 XNUMX 万ドルを失い、他の XNUMX 以上の DeFi プロトコルにも影響を与えました。
14 月 XNUMX 日、Euler は状況に関する最新情報を発表し、脆弱な Etoken モジュールを無効にして預金と脆弱な寄付機能をブロックしたことをユーザーに通知しました。
同社は、さまざまなセキュリティグループと協力してプロトコルの監査を行っており、脆弱なコードは外部監査中にレビューおよび承認されたと述べています。 脆弱性は、監査の一環として発見されませんでした。
当社の監査パートナーの XNUMX つである、 @オムニシア_秒、技術的な事後分析を準備し、攻撃を詳細に分析しました。 ここで彼らのレポートを読むことができます:https://t.co/u4Z2xdutwe
要するに、攻撃者は脆弱なコードを悪用して、裏付けのないトークン負債を作成することができました… https://t.co/FGnPqvYUGB
— オイラー研究所 (@eulerfinance) 2023 年 3 月 14 日
この脆弱性は、悪用されるまで 1 か月間オンチェーンのままでしたが、その間に XNUMX 万ドルのバグ報奨金が支払われました。
過去に Euler Finance と協力してきた監査グループである Sherlock は、エクスプロイトの根本原因を検証し、Euler が請求を提出するのを支援しました。 監査プロトコルはその後、4.5 万ドルの請求に対して投票を行い、これは可決され、3.3 月 14 日に XNUMX 万ドルの支払いが実行されました。
監査グループは、その分析レポートで、エクスプロイトの主な要因は、EIP-14 で追加された新しい関数である donateToReserves() のヘルス チェックの欠落であると指摘しました。 ただし、プロトコルは、EIP-14が存在する前でも攻撃が技術的に可能であることを強調しました.
関連: 280 以上のブロックチェーンが「ゼロデイ」エクスプロイトのリスクにさらされている、とセキュリティ会社が警告
Sherlock は、2022 年 2023 月に行われた WatchPug による Euler 監査では、XNUMX 年 XNUMX 月に最終的にエクスプロイトにつながった重大な脆弱性が見落とされたと指摘しました。
同様に、Sherlock は Euler をレビューしたすべての監査人を支持しています。
シャーロックは当初一緒に働いていた @cmichelio 2021 年 XNUMX 月に Euler の最初のバージョンを監査し、その後 @shw9453 2022 年 XNUMX 月に非常に小さな更新を監査し、最後に @WatchPug_ 14 年 2022 月に EIP-XNUMX を監査します。
— シャーロック (@sherlockdefi) 2023 年 3 月 13 日
Euler はまた、TRM Labs、Chainalysis、およびより広範な ETH セキュリティ コミュニティなどの主要なオンチェーン分析およびブロックチェーン セキュリティ企業に連絡を取り、調査と資金の回収を支援しています。
オイラー氏は、攻撃の責任者にも連絡を取り、問題の詳細を把握し、盗まれた資金を取り戻すための報奨金を交渉しようとしていると通知しました。
ソース: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds