Protokol pinjaman keuangan terdesentralisasi (DeFi) Euler Finance menjadi korban serangan flash loan pada 13 Maret, yang menghasilkan peretasan crypto terbesar pada tahun 2023 sejauh ini. Protokol pinjaman kehilangan hampir $197 juta dalam serangan itu dan memengaruhi lebih dari 11 protokol DeFi lainnya juga.
Pada 14 Maret, Euler mengeluarkan pembaruan tentang situasi dan memberi tahu penggunanya bahwa mereka telah menonaktifkan modul Etoken yang rentan untuk memblokir setoran dan fungsi donasi yang rentan.
Perusahaan tersebut mengatakan bahwa mereka bekerja dengan berbagai grup keamanan untuk melakukan audit terhadap protokolnya, dan kode yang rentan telah ditinjau dan disetujui selama audit dari luar. Kerentanan tidak ditemukan sebagai bagian dari audit.
Salah satu mitra audit kami, @Omniscia_sec, menyiapkan post-mortem teknis dan menganalisis serangan itu dengan sangat rinci. Anda dapat membaca laporan mereka di sini: https://t.co/u4Z2xdutwe
Singkatnya, penyerang mengeksploitasi kode rentan yang memungkinkannya membuat utang token yang tidak didukung… https://t.co/FGnPqvYUGB
— Lab Euler (@eulerfinance) 14 Maret, 2023
Kerentanan tetap on-chain selama delapan bulan sampai dieksploitasi, meskipun hadiah bug $ 1 juta tersedia selama waktu itu.
Sherlock, grup audit yang pernah bekerja sama dengan Euler Finance, memverifikasi akar penyebab eksploit dan membantu Euler mengajukan klaim. Protokol audit kemudian mengadakan pemungutan suara atas klaim sebesar $4.5 juta, yang disahkan dan kemudian membayar $3.3 juta pada tanggal 14 Maret.
Grup audit, dalam laporan analisisnya, mencatat bahwa faktor utama eksploitasi adalah pemeriksaan kesehatan yang hilang di donateToReserves(), sebuah fungsi baru yang ditambahkan di EIP-14. Namun, protokol tersebut menekankan bahwa serangan itu secara teknis masih mungkin terjadi bahkan sebelum adanya EIP-14.
Terkait: Lebih dari 280 blockchain berisiko dieksploitasi 'zero-day', perusahaan keamanan memperingatkan
Sherlock mencatat bahwa audit Euler oleh WatchPug pada Juli 2022 melewatkan kerentanan kritis yang akhirnya berujung pada eksploitasi pada Maret 2023.
Demikian pula, Sherlock mendukung setiap auditor yang meninjau Euler.
Sherlock awalnya bekerja dengan @cmichelio untuk mengaudit versi pertama Euler pada Desember 2021, lalu dengan @ shw9453 untuk mengaudit pembaruan yang sangat kecil pada Jan 2022, dan terakhir dengan @MenontonPug_ untuk mengaudit EIP-14 pada Juli 2022.
— SHERLOCK (@sherlockdefi) 13 Maret, 2023
Euler juga telah menjangkau perusahaan keamanan analitik dan blockchain terkemuka, seperti TRM Labs, Chainalysis, dan komunitas keamanan ETH yang lebih luas, dalam upaya untuk membantu mereka dalam penyelidikan dan memulihkan dana.
Euler memberi tahu bahwa mereka juga mencoba menghubungi mereka yang bertanggung jawab atas serangan itu untuk mempelajari lebih lanjut tentang masalah tersebut dan mungkin merundingkan hadiah untuk memulihkan dana yang dicuri.
Sumber: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds