Euler Finance ماژول های آسیب پذیر را مسدود می کند و برای بازیابی وجوه کار می کند
به گزارش پایگاه خبری ارز دیجیتال موبو ارز،
اویلر اکنون با مجری قانون و شرکت های امنیتی بلاک چین برای تماس با سوء استفاده کنندگان و بازیابی وجوه همکاری می کند.
پروتکل وام دهی مالی غیرمتمرکز (DeFi) Euler Finance قربانی یک حمله وام فلش در ۱۳ مارس شد و باعث بزرگترین هک ارز دیجیتال تا به امروز در سال ۲۰۲۳ شد. پروتکل وام دهی حدود ۱۹۷ میلیون دلار در این حمله از دست داد که بر ۱۱ پروتکل دیگر DeFi نیز تأثیر گذاشت.
در ۱۴ مارس، اویلر یک بهروزرسانی در مورد وضعیت منتشر کرد و به کاربران اطلاع داد که ماژول آسیبپذیر Etoken را برای مسدود کردن سپردهها و عملکرد آسیبپذیر اهدایی غیرفعال کرده است.
این شرکت میگوید که با گروههای امنیتی مختلف برای ممیزی پروتکل کار میکند و کد آسیبپذیر در طول ممیزی خارجی بررسی و تأیید شد. هیچ آسیبپذیری به عنوان بخشی از حسابرسی کشف نشد.
یکی از شرکای حسابرسی ما، @omnicia_sec، یک کالبدشکافی فنی تهیه کرد و این حمله را به تفصیل تجزیه و تحلیل کرد. گزارش آنها را می توانید در اینجا بخوانید: https://t.co/u4Z2xdutwe
به طور خلاصه، مهاجمان توانستند از کد آسیبپذیر برای ایجاد بدهی توکن بدون پشتوانه سوء استفاده کنند… https://t.co/FGnPqvYUGB
– موسسه اویلر (@eulerfinance) ۱۴ مارس ۲۰۲۳
این آسیبپذیری به مدت هشت ماه در زنجیره باقی ماند و سپس مورد بهرهبرداری قرار گرفت و در این مدت یک میلیون دلار جایزه باگ پرداخت شد.
شرلوک، یک گروه حسابرسی که در گذشته با Euler Finance کار کرده است، علت اصلی سوء استفاده را تأیید کرد و به اویلر کمک کرد تا ادعایی را ارائه کند. پروتکل حسابرسی سپس به ادعای ۴.۵ میلیون دلاری رأی داد که به تصویب رسید و در ۱۴ مارس ۳.۳ میلیون دلار پرداخت شد.
در گزارش تجزیه و تحلیل خود، گروه حسابرسی اشاره کرد که عامل اصلی در اکسپلویت، بررسی سلامتی از دست رفته برای donateToReserves()، یک تابع جدید اضافه شده در EIP-14 بود. با این حال، پروتکل تاکید کرد که حملات از نظر فنی حتی قبل از وجود EIP-14 امکان پذیر است.
مرتبط: شرکت امنیتی هشدار داد که بیش از ۲۸۰ بلاک چین در معرض خطر سوء استفاده های “روز صفر” هستند
شرلوک اشاره کرد که حسابرسی واچ پاگ از اویلر در ژوئیه ۲۰۲۲ یک آسیب پذیری مهم را نادیده گرفت که در نهایت منجر به بهره برداری از آن در مارس ۲۰۲۳ شد.
به طور مشابه، شرلوک تمام حسابرسانی را که اویلر را بررسی کرده اند، تأیید می کند.
شرلوک در ابتدا با او کار می کرد @cmichelio پس از آن، اولین نسخه اویلر را در دسامبر ۲۰۲۱ ممیزی کنید @shw9453 یک بهروزرسانی بسیار کوچک را در ژانویه ۲۰۲۲ ممیزی کرد و در نهایت @WatchPug_ حسابرسی EIP-14 در جولای ۲۰۲۲.
—SHERLOCK (@sherlockdefi) ۱۳ مارس ۲۰۲۳
اویلر همچنین برای کمک به بررسی و بازیابی وجوه، با شرکتهای پیشرو در تجزیه و تحلیل زنجیرهای و امنیت بلاکچین مانند TRM Labs، Chainalysis، و جامعه امنیتی گستردهتر ETH تماس گرفته است.
اویلر گفت که او همچنین برای کسب اطلاعات بیشتر در مورد این موضوع با افراد مسئول این حمله تماس گرفت و در تلاش بود تا برای بازپس گیری وجوه دزدیده شده در مورد جایزه مذاکره کند.
نویسنده: Prashant Jha