Euler Finance Flash Loan Exploit: уязвимость оставалась в сети в течение 8 месяцев

15.03.2023 / Новости платежных систем

Компания Omniscia, партнер Euler Finance по аудиту, опубликовала отчет о том же, в котором говорится, что уязвимость, которой воспользовались злоумышленники, возникла из-за неправильного механизма пожертвований протокола децентрализованного финансирования, который не учитывал состояние долга жертвователя.

Уязвимый код, представленный в eIP-14, привел к нескольким изменениям во всей экосистеме Euler. Это позволило злоумышленнику создать позицию с чрезмерным кредитным плечом и ликвидировать ее самостоятельно в том же блоке, искусственно заставив ее уйти «под воду», говорится в заявлении фирмы.

Функция, лежащая в основе уязвимости, не входила ни в один аудит, проведенный Omniscia.

Внешний аудит был ответственен за проверку уязвимого кода, который позже был одобрен.

Однако уязвимость не была обнаружена в рамках этого аудита и оставалась в сети в течение восьми месяцев, пока не была использована 13 марта, несмотря на вознаграждение за обнаружение ошибок в размере 1 миллиона долларов.

Неисправный модуль etoken отключен для предотвращения депозитов и уязвимой функции пожертвований.

После атаки протокол DeFi выявил работу с различными группами безопасности для проведения аудитов, а также привлек правоохранительные органы для возврата средств.

«Мы опустошены эффектом этой атаки на пользователей протокола Euler и будем продолжать работать с нашими партнерами по безопасности, правоохранительными органами и более широким сообществом, чтобы решить эту проблему наилучшим образом. может. Большое спасибо за вашу поддержку и ободрение».

Публикация Euler Finance Flash Loan Exploit: уязвимость оставалась в сети в течение 8 месяцев впервые появилась на CryptoPotato.