Code Bug-aktiveret Flash-lånangreb
Euler, en låneprotokol, der holdt over $400 mio. i brugeraktiver fra i går, er blevet udnyttet i næsten $ 200M i hvad der kan være den største DeFi-udnyttelse i 2023.
Det lykkedes angriberen stjæle næsten $136M af Lido Finance's stETH, $34M af USDC, $18.5M af WBTC og $8.8M i DAI.
Protokollens EUL-styringstoken mistede over halvdelen af sin værdi i kølvandet på angrebet.
Euler-holdet har bekræftet at det arbejder med TRM Labs, Chainalysis og det bredere Ethereum-sikkerhedsfællesskab for at spore og forsøge at inddrive de stjålne midler. UK og amerikansk retshåndhævelse er også blevet underrettet.
Eulers samlede værdi låst (TVL) ligger i øjeblikket på lidt over $10M.
Sårbar funktion
Udnyttelsen stammede fra en sårbarhed i en smart kontraktfunktion kaldet 'donateToReserve' som blev tilføjet som en del af en større revision for otte måneder siden og giver brugerne mulighed for at donere små saldi til protokollens reserve.
Euler bruger to typer tokens til at spore brugerbalancer. eTokens repræsenterer sikkerhedsstillelser, mens dTokens repræsenterer brugernes gæld.
Gearede positioner likvideres, når en brugers dToken-saldo overstiger deres eToken-saldo, og likvidatorer tilskyndes til at gøre det gennem en rabat, der tilbydes af protokollen for at sikre problemfri drift.
Som pr. A efter døden fra Omniscia, en af Eulers revisorer, er det centrale spørgsmål, at donationsfunktionen ikke inkluderer et 'sundhedstjek' for at sikre, at brugeren forbliver tilstrækkeligt sikret efter donation.
Som et resultat var angriberen i stand til at skabe en undervandsposition og likvidere sig selv ved hjælp af en anden ondsindet kontrakt oprettet til det formål.
Sikkerhedsfirmaet Peckshield illustrerede angrebet ved at bruge Eulers DAI-marked, som blev udnyttet for $8.8 millioner, som eksempel.
Omregningskursen refererer til likvidationsrabatten, som i dette tilfælde blev fastsat til maksimalt 25 % på grund af den ekstremt lave belåning af kontoen efter donation.
Angriberen gentog den samme proces for at dræne stETH-, WBTC- og USDC-markederne og indtjente i alt $197 mio.
On-chain analytiker ZachXBT bemærkede at den samme adresse tidligere havde angrebet en DeFI-protokol på BNB Smart Chain for $346,000 og brugt privatlivsmixeren Tornado Cash til at hvidvaske disse midler.
Flash-lån
Et flashlån er en DeFi-funktion, der giver brugerne mulighed for at låne store mængder penge uden at stille sikkerhed. Lånet skal dog tilbagebetales inden for samme Ethereum-blok.
Flash-lånsangreb er desværre alt for almindelige i DeFi. I oktober 2021 led et andet pengemarked, Cream Finance, en $ 130M flash lån udnyttelse.
Ondsindede aktører drænet $ 3.2 milliarder fra DeFi-platforme sidste år gennem en række forskellige angreb.
DeFi Fallout
Euler er bredt integreret med det bredere DeFi-økosystem på grund af en kombination af at være velanset og tilbyde likviditetsincitamenter, og udnyttelsen har påvirket mange protokoller at enten deponerede midler i Euler eller havde indirekte eksponering.
Decentral udveksling Balancer sagde at dets nødsubDAO har sat alle likviditetspuljer, der indeholder Euler-boostede USD (bbeUSD) på pause, og sat bbeUSD i gendannelsestilstand.
Balancer-teamet siger, at der ikke er yderligere risiko for tab. Det tilføjede, at bbeUSD LP'er vil være i stand til at forlade deres positioner, når der er opnået yderligere klarhed fra Euler-teamet.
Angle Protocol, udstederen af den euro-pegede agEUR stablecoin, sagde at den blev eksponeret for USDC til en værdi af $17.6 mio. og har udgivet en efter døden.
Den pågældende smarte kontrakt blev revideret af Sherlock, som har godkendt en udbetaling på $4.5 millioner fra sin forsikringsfond.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://thedefiant.io/euler-200m-exploit/
- :er
- 000
- 2021
- 2023
- 214
- a
- I stand
- Konto
- aktører
- tilføjet
- adresse
- tilstrækkeligt
- Alle
- tillader
- beløb
- analytiker
- ,
- En anden
- ER
- AS
- Aktiver
- At
- angribe
- Angreb
- revideres
- revisorer
- Balance
- swing
- saldi
- BE
- være
- Største
- Bloker
- bnb
- BNB Smart kæde
- låne
- bredere
- Bug
- by
- kaldet
- tilfælde
- Kontanter
- kæde
- kædeanalyse
- klarhed
- Collateral
- stillet sikkerhed
- kombination
- Fælles
- samfund
- kontrakt
- Konvertering
- Core
- skabe
- oprettet
- For øjeblikket
- DAI
- Defi
- DeFi-økosystem
- defi udnytte
- defi platforme
- DEFI PROTOKOL
- deponeret
- Rabat
- donere
- drænet
- økosystem
- enten
- nødsituation
- aktiveret
- håndhævelse
- sikre
- ethereum
- ethereum sikkerhed
- EUL
- eksempel
- overstiger
- udveksling
- Udgang
- Exploit
- Exploited
- udsat
- Eksponering
- ekstremt
- Feature
- finansiere
- Firm
- Blink
- flash lån udnytte
- Til
- fra
- funktion
- fond
- fonde
- yderligere
- regeringsførelse
- Halvdelen
- Held
- Men
- HTTPS
- in
- Incitamenter
- tilskyndes
- omfatter
- forsikring
- integreret
- spørgsmål
- Udsteder
- IT
- ITS
- Labs
- stor
- Efternavn
- Sidste år
- Lov
- retshåndhævelse
- långiver
- udlån
- udlånsprotokol
- LIDO
- likvidere
- LIKVIDERET
- Likvidation
- Likviditet
- likviditetsbassiner
- lån
- låst
- off
- Lav
- lp'er
- større
- lykkedes
- Marked
- Markeder
- maksimal
- at Røreværk Omrøring
- tilstand
- penge
- pengemarked
- måned
- næsten
- Begreb
- opnået
- oktober
- of
- tilbydes
- tilbyde
- on
- ONE
- drift
- overhaling
- del
- Peckshield
- Platforme
- plato
- Platon Data Intelligence
- PlatoData
- Pools
- position
- positioner
- tidligere
- pris
- Beskyttelse af personlige oplysninger
- behandle
- protokol
- protokoller
- formål
- sætte
- spørgsmål
- Sats
- Recover
- opsving
- refererer
- frigivet
- resterne
- gentaget
- repræsentere
- Reserve
- resultere
- Risiko
- samme
- siger
- sikkerhed
- sæt
- lille
- Smart
- Smart kæde
- smart kontrakt
- So
- Kilde
- stablecoin
- står
- steth
- stjålet
- stjålne midler
- lider
- hold
- at
- deres
- selv
- Gennem
- til
- token
- Tokens
- også
- tornado
- Tornado kontanter
- I alt
- samlet værdi låst
- spor
- TVL
- typer
- Uk
- vandet
- us
- USD
- USDC
- Bruger
- brugere
- værdi
- række
- sårbarhed
- Wake
- wBTC
- Hvad
- som
- mens
- bredt
- vilje
- med
- inden for
- uden
- arbejder
- værd
- år
- Zachxbt
- zephyrnet