أصبح بروتوكول الإقراض المالي اللامركزي (DeFi) Euler Finance ضحية لهجوم قرض سريع في 13 مارس ، مما أدى إلى أكبر اختراق للعملات المشفرة في عام 2023 حتى الآن. خسر بروتوكول الإقراض ما يقرب من 197 مليون دولار في الهجوم وأثر على أكثر من 11 بروتوكولات DeFi أخرى أيضًا.
في 14 آذار (مارس) ، أصدر أويلر تحديثًا للوضع وأبلغ مستخدميه أنهم عطلوا وحدة Etoken الضعيفة لمنع الإيداعات ووظيفة التبرع الضعيفة.
قالت الشركة إنها تعمل مع مجموعات أمنية مختلفة لإجراء عمليات تدقيق لبروتوكولها ، وتمت مراجعة الكود الضعيف والموافقة عليه خلال تدقيق خارجي. لم يتم اكتشاف الثغرة الأمنية كجزء من التدقيق.
أحد شركائنا في التدقيق ، تضمين التغريدة، أعدت تشريحًا تقنيًا للوفاة وحللت الهجوم بتفصيل كبير. يمكنك قراءة تقريرهم هنا: https: //t.co/u4Z2xdutwe
باختصار ، استغل المهاجم رمزًا ضعيفًا سمح له بإنشاء دين رمزي غير مدعوم ... https://t.co/FGnPqvYUGB
- مختبرات أويلر (eulerfinance) 14 آذار، 2023
ظلت الثغرة الأمنية على السلسلة لمدة ثمانية أشهر حتى تم استغلالها ، على الرغم من وجود مكافأة خطأ بقيمة مليون دولار خلال تلك الفترة.
تحققت مجموعة Sherlock ، وهي مجموعة تدقيق عملت مع Euler Finance في الماضي ، من السبب الجذري للاستغلال وساعدت أويلر في تقديم مطالبة. أجرى بروتوكول التدقيق في وقت لاحق تصويتًا على المطالبة بمبلغ 4.5 مليون دولار ، والتي تم تمريرها وتنفيذها لاحقًا بمبلغ 3.3 مليون دولار في 14 مارس.
لاحظت مجموعة التدقيق ، في تقرير التحليل الخاص بها ، أن أحد العوامل الرئيسية للاستغلال هو فقدان الفحص الصحي في donateToReserves () ، وهي وظيفة جديدة تمت إضافتها في EIP-14. ومع ذلك ، أكد البروتوكول أن الهجوم كان لا يزال ممكنًا من الناحية الفنية حتى قبل وجود EIP-14.
ذات صلة: تحذر شركة الأمن من أكثر من 280 بلوكشين معرضة لخطر عمليات استغلال "ثغرات يوم الصفر"
أشار شيرلوك إلى أن تدقيق أويلر الذي أجرته WatchPug في يوليو 2022 قد فاته نقطة الضعف الحرجة التي أدت في النهاية إلى الاستغلال في مارس 2023.
وبالمثل ، يقف شيرلوك وراء كل مدقق حسابات قام بمراجعة أويلر.
عمل شيرلوك في البداية مع تضمين التغريدة لتدقيق الإصدار الأول من أويلر في ديسمبر 2021 ، ثم باستخدام @ shw9453 لمراجعة تحديث صغير جدًا في كانون الثاني (يناير) 2022 ، وأخيرًا باستخدام MustafaHosny اللهم امين لتدقيق EIP-14 في يوليو 2022.
- شيرلوك (sherlockdefi) 13 آذار، 2023
تواصلت أويلر أيضًا مع شركات الأمن التحليلية وسلسلة الكتل الرائدة ، مثل TRM Labs و Chainalysis ومجتمع أمان ETH الأوسع ، في محاولة لمساعدتهم في التحقيق واسترداد الأموال.
أبلغ أويلر أنهم يحاولون أيضًا الاتصال بالمسؤولين عن الهجوم لمعرفة المزيد حول المشكلة وربما التفاوض على مكافأة لاسترداد الأموال المسروقة.
المصدر: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds