El protocolo de préstamo de finanzas descentralizadas (DeFi) Euler Finance fue víctima de un ataque de préstamo flash el 13 de marzo, lo que resultó en el mayor hackeo de cripto en 2023 hasta el momento. El protocolo de préstamos perdió casi 197 millones de dólares en el ataque y afectó también a más de otros 11 protocolos DeFi.
El 14 de marzo, Euler actualizó la situación y notificó a sus usuarios que habían desactivado el módulo vulnerable etoken para bloquear los depósitos y la función vulnerable de donación.
La empresa dijo que trabajan con varios grupos de seguridad para realizar auditorías de su protocolo, y que el código vulnerable fue revisado y aprobado durante una auditoría externa. La vulnerabilidad no se descubrió como parte de la auditoría.
Uno de nuestros socios auditores, @Omniscia_sec, preparó una autopsia técnica y analizó el ataque con gran detalle. Puedes leer su informe aquí:https://t.co/u4Z2xdutwe
En resumen, el atacante explotó un código vulnerable que le permitió crear una deuda de tokens sin respaldo… https://t.co/FGnPqvYUGB
– Euler Labs (@eulerfinance) 14 de marzo de 2023
La vulnerabilidad permaneció en la cadena durante ocho meses hasta que fue explotada, a pesar de que existía una recompensa de un millón de dólares.
Sherlock, un grupo de auditoría que ha trabajado con Euler Finance en el pasado, verificó la causa de la vulnerabilidad y ayudó a Euler a presentar una reclamación. El protocolo de auditoría votó posteriormente la reclamación de 4,5 millones de dólares, que fue aprobada, y posteriormente ejecutó un pago de 3,3 millones de dólares el 14 de marzo.
En su informe de análisis, el grupo de auditoría señaló un factor importante para el exploit: una comprobación de salud que faltaba en “donateToReserves”, una nueva función añadida en el EIP-14. Sin embargo, el protocolo subrayaba que el ataque seguía siendo técnicamente posible incluso antes del EIP-14.
Relacionado: Más de 280 blockchains en riesgo de sufrir exploits de ‘día cero’, advierte una empresa de seguridad
Sherlock señaló que la auditoría de Euler realizada por WatchPug en julio de 2022 pasó por alto la vulnerabilidad crítica que finalmente condujo al exploit en marzo de 2023.
Del mismo modo, Sherlock respalda a todos los auditores que revisaron Euler.
Sherlock trabajó inicialmente con @cmichelio para auditar la primera versión de Euler en Dic 2021, luego con @shw9453 para auditar una actualización muy pequeña en enero de 2022, y finalmente con @WatchPug_ para auditar el EIP-14 en julio de 2022.
– SHERLOCK (@sherlockdefi) 13 de marzo de 2023
Euler también se ha puesto en contacto con empresas líderes en análisis en cadena y seguridad de blockchain, como TRM Labs, Chainalysis y la comunidad de seguridad más amplia de ETH, en un intento de ayudarles con la investigación y recuperar los fondos.
Euler notificó que también están tratando de ponerse en contacto con los responsables del ataque con el fin de obtener más información sobre el problema y, posiblemente, negociar una recompensa para recuperar los fondos robados.
Source: COIN TELEGRAPH