Il 13 Marzo Euler Finance, protocollo di prestito di finanza decentralizzata (DeFi), è stato vittima di un flash loan attack che ha causato il più grande hack crypto nel 2023. Nell'attacco il protocollo di prestito ha perso quasi 197 milioni di dollari e coinvolto più di 11 protocolli DeFi.
Il 14 Marzo, Euler ha rilasciato un aggiornamento sulla situazione e ha informato i suoi utenti di aver disabilitato il modulo etoken vulnerabile per i depositi e la funzione di donazione.
L'azienda ha dichiarato che sta collaborando con diversi esperti di sicurezza per eseguire audit del suo protocollo e che il codice vulnerabile è stato esaminato e approvato durante un audit esterno. La vulnerabilità però non era stata scoperta durante l'audit.
Uno dei nostri partner per l'audit, @Omniscia_sec, ha preparato un'autopsia tecnica e ha analizzato l'attacco nei minimi dettagli. Potete leggere il loro report qui: https://t.co/u4Z2xdutwe
In breve, l'aggressore ha sfruttato un codice vulnerabile che gli ha permesso di aprire un debito di token non coperto... https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) March 14, 2023
One of our auditing partners, @Omniscia_sec, prepared a technical post-mortem and analysed the attack in great detail. You can read their report here:https://t.co/u4Z2xdutwe
— Euler Labs (@eulerfinance) March 14, 2023
In short, the attacker exploited vulnerable code which allowed it to create an unbacked token debt… https://t.co/FGnPqvYUGB
La vulnerabilità è rimasta on-chain per otto mesi fino a quando non è stata exploitata, nonostante la presenza di un bug bounty da 1 milione di dollari.
Sherlock, un team audit che in passato ha collaborato con Euler Finance, ha verificato la causa principale dell'exploit e ha aiutato Euler a presentare una richiesta di risarcimento. Il protocollo ha poi votato la richiesta di 4,5 milioni di dollari, che è stata approvata, e il 14 Marzo ha eseguito un pagamento di 3,3 milioni di dollari.
Nel suo report di analisi, il team audit ha rilevato un fattore significativo per l'exploit: un mancato controllo in "donateToReserves", una nuova funzione aggiunta nell'EIP-14. Tuttavia, il protocollo ha sottolineato che l'attacco era tecnicamente possibile anche prima dell'EIP-14.
Sherlock ha evidenziato che l'audit di Euler effettuato da WatchPug nel Luglio 2022 non ha rilevato la vulnerabilità critica che ha poi portato all'exploit nel Marzo 2023.
Allo stesso modo, Sherlock appoggia ogni auditor che ha revisionato Euler.
Sherlock ha inizialmente lavorato con @cmichelio per revisionare la prima versione di Euler nel Dicembre 2021, poi con @shw9453 per revisionare un aggiornamento molto piccolo nel Gennaio 2022, e infine con @WatchPug_ per revisionare EIP-14 nel Luglio 2022.
— SHERLOCK (@sherlockdefi) March 13, 2023
Similarly, Sherlock stands behind every auditor who reviewed Euler.
— SHERLOCK (@sherlockdefi) March 13, 2023
Sherlock initially worked with @cmichelio to audit the first version of Euler in Dec 2021, then with @shw9453 to audit a very small update in Jan 2022, and finally with @WatchPug_ to audit EIP-14 in July 2022.
Euler ha anche contattato le principali società di analisi on-chain e di sicurezza blockchain, come TRM Labs, Chainalysis e la più grande community di ETH security, nel tentativo di farsi aiutare nelle indagini e recuperare i fondi.
Euler ha comunicato che sta anche cercando di contattare i responsabili dell'attacco per saperne di più sul problema ed eventualmente negoziare una ricompensa per recuperare i fondi rubati.