Euler Finance Hacker отклоняет предложение на 20 миллионов долларов и смешивает 1000 ETH с Tornado Cash
16 марта взлом кредитного протокола Euler Finance на 200 млн долларов принял неожиданный оборот, когда преступник, по-видимому, отклонил предложение на 20 млн долларов, смешав 1 000 ETH (стоимостью 1,65 млн долларов) через Tornado Cash.
По данным PeckShield, злоумышленник провел десять транзакций в Tornado Cash. В каждом из них они отправили 100 ETH на промежуточный адрес. В результате хакер замаскировал 1000 ETH в Tornado Cash и имеет 1500 ETH на адресе, использованном для проведения атаки, что значительно усложняет для Euler Finance (и правоохранительных органов) отслеживание IRL.
#PeckShieldAlert @eulerfinance эксплуататор в пути
~1000 $ETH в Tornado Cash через адрес посредника 0xc66d…c9ahttps://t.co/LAkY66YpoF pic.twitter.com/0XhQV1nbgn
— PeckShieldAlert (@PeckShieldAlert), 16 марта 2023 г.
20 миллионов долларов было недостаточно
15 марта компания Euler Finance публично предложила злоумышленникам сделку, по которой они могли бы оставить себе 10% от украденных 200 млн долларов США, если бы они вернули остальное. Отказ сделать это приведет к тому, что Euler Finance предложит вознаграждение в размере 1 миллиона долларов любому, кто предоставит информацию, которая привела к их поимке.
Но, согласно данным в сети, хакер не придал значения предложениям Euler Finance и вместо этого смешал криптовалюты в Tornado Cash всего через несколько часов после того, как предложение было обнародовано.
Изображение: Этерскан
Но это были не все плохие новости; хакер решил отправить 100 ETH одной из жертв после их просьб. Один из пользователей, потерявших свои средства, сказал хакеру, что он скромный человек, который может потерять все сбережения своей жизни, если откажется от вознаграждения, предлагаемого протоколом.
ВАУ! @eulerfinance Exploiter вернул 100 $ETH какому-то парню, который умолял его вернуть деньги, так как это были его сбережения на всю жизньhttps://t.co/Gz9aCUZB0H pic.twitter.com com/DhZBenqtuS
— Wazz (@WazzCrypto) 16 марта 2023 г.
Euler Finance потеряла 200 миллионов долларов из-за мгновенной кредитной атаки
Как недавно сообщал CryptoPotato, Euler Finance потеряла почти 200 миллионов долларов в начале недели после использования уязвимости, которая оставалась скрытой в течение восьми месяцев.
Согласно вскрытию, опубликованному фирмой по кибербезопасности Omniscia, аудиторским партнером Euler Finance, атака была вызвана уязвимостью в механизме пожертвований протокола, которая позволила хакеру создать позицию с чрезмерным кредитным плечом, которая после ликвидации в тот же блок искусственно вызвал его опускание, разделив 200 млн долларов на DAI, USDC, WBTC и ETH.
Компания Omniscia пришла к выводу, что атака была вызвана неверным механизмом пожертвований, представленным в последнем обновлении протокола (eIP-14), который они так и не проанализировали.
«Функция EToken::donateToReserve, которая лежит в основе этой уязвимости, не была предметом аудита, проведенного Omniscia. Таким образом, код, вызывающий уязвимость, никогда не подвергался проверке, проводимой нашей командой».
На данный момент неизвестно, намерен ли хакер вернуть оставшийся эфир в протокол, чтобы избежать преследования со стороны белых хакеров, компаний, занимающихся отслеживанием блокчейна, и даже правоохранительных органов.
Публикация Euler Finance Hacker отвергает предложение на 20 миллионов долларов и смешивает 1000 ETH с Tornado Cash, впервые появившись на CryptoPotato.
