Ataque de préstamo flash habilitado por error de código
Euler, un protocolo de préstamos que tenía más de $ 400 millones en activos de usuarios hasta ayer, ha sido explotado durante casi $200 millones en lo que puede ser el mayor exploit de DeFi de 2023.
El atacante logró robar casi $136 millones de stETH de Lido Finance, $34 millones de USDC, $18.5 millones de WBTC y $8.8 millones de DAI.
El token de gobernanza EUL del protocolo perdió más de la mitad de su valor a raíz del ataque.
El equipo de Euler tiene confirmado que está trabajando con TRM Labs, Chainalysis y la comunidad de seguridad de Ethereum en general para rastrear e intentar recuperar los fondos robados. También se ha notificado a las fuerzas del orden del Reino Unido y EE. UU.
El valor total bloqueado (TVL) de Euler se sitúa actualmente en poco más de 10 millones de dólares.
Función vulnerable
El exploit provino de una vulnerabilidad en una función de contrato inteligente llamada 'donarParaReservar' que se agregó como parte de una revisión importante hace ocho meses y permite a los usuarios donar pequeños saldos a la reserva del protocolo.
Euler usa dos tipos de tokens para rastrear los saldos de los usuarios. Los eTokens representan activos colaterales, mientras que los dTokens representan las deudas de los usuarios.
Las posiciones apalancadas se liquidan cuando el saldo de dToken de un usuario excede su saldo de eToken, y los liquidadores tienen incentivos para hacerlo a través de un descuento ofrecido por el protocolo para garantizar un funcionamiento sin problemas.
Según un Post-mortem de Omniscia, uno de los auditores de Euler, el problema central es que la función de donación no incluye un 'chequeo de salud' para garantizar que el usuario permanezca adecuadamente colateralizado después de la donación.
Como resultado, el atacante pudo crear una posición submarina y liquidarse usando otro contrato malicioso creado para ese propósito.
Empresa de seguridad Peckshield ilustrado el ataque utilizando el mercado DAI de Euler, que fue explotado por 8.8 millones de dólares, como ejemplo.
La tasa de conversión se refiere al descuento de liquidación, que se fijó en un máximo del 25% en este caso debido a la extremadamente baja colateralización de la cuenta posterior a la donación.
El atacante repitió el mismo proceso para drenar los mercados de stETH, WBTC y USDC, obteniendo un total de $197 millones.
Analista en cadena ZachXBT señaló que la misma dirección había atacado previamente un protocolo DeFI en BNB Smart Chain por $ 346,000 y usó el mezclador de privacidad Tornado Cash para lavar esos fondos.
Préstamos Flash
Un préstamo flash es una característica de DeFi que permite a los usuarios pedir prestadas grandes cantidades de dinero sin publicar ninguna garantía. Sin embargo, el préstamo debe pagarse dentro del mismo bloque Ethereum.
Desafortunadamente, los ataques de préstamos rápidos son demasiado comunes en DeFi. En octubre de 2021, otro mercado monetario, Cream Finance, sufrió un $130 millones explotación de préstamo flash.
Actores maliciosos drenados 3.2 millones de dólares desde plataformas DeFi el año pasado a través de una variedad de ataques.
Fallout de DeFi
Euler está ampliamente integrado con el ecosistema DeFi más amplio debido a una combinación de ser bien considerado y ofrecer incentivos de liquidez, y el exploit ha afectado muchos protocolos que depositaron fondos en Euler o tuvieron exposición indirecta.
Equilibrador de intercambio descentralizado dijo que su subDAO de emergencia ha detenido todos los fondos de liquidez que contienen USD impulsado por Euler (bbeUSD) y ha puesto a bbeUSD en modo de recuperación.
El equipo de Balancer dice que no hay más riesgo de pérdida. Agregó que los LP de bbeUSD podrán salir de sus posiciones una vez que se obtenga más claridad del equipo de Euler.
Angle Protocol, el emisor de la moneda estable agEUR vinculada al euro, dijo que estuvo expuesto a la suma de $ 17.6M por valor de USDC y ha lanzado un Post-mortem.
El contrato inteligente en cuestión fue auditado por Sherlock, que ha aprobado un pago de 4.5 millones de dólares de su fondo de seguros.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://thedefiant.io/euler-200m-exploit/
- :es
- 000
- 2021
- 2023
- 214
- a
- Poder
- Mi Cuenta
- los actores
- adicional
- dirección
- adecuadamente
- Todos
- permite
- cantidades
- analista
- y
- Otra
- somos
- AS
- Activos
- At
- atacar
- ataques
- auditado
- los auditores
- Balance
- equilibrador
- saldos
- BE
- "Ser"
- Mayor
- Bloquear
- BNB
- Cadena inteligente BNB
- pedir prestado
- más amplio
- Error
- by
- , que son
- case
- efectivo
- cadena
- chainalysis
- transparencia
- Colateral
- garantizado
- combinación
- Algunos
- vibrante e inclusiva
- contrato
- Conversión
- Core
- Para crear
- creado
- En la actualidad
- DAI
- DeFi
- Ecosistema DeFi
- defi explotar
- plataformas defi
- PROTOCOLO DEFI
- depositado
- El descuento
- donar
- Escurridos
- ecosistema
- ya sea
- Emergencia Dental
- facilita
- cumplimiento
- garantizar
- Etereum
- seguridad ethereum
- YO
- ejemplo
- excede
- Intercambio
- Exit
- Explotar
- Explotado
- expuesto
- Exposición
- extremadamente
- Feature
- financiar
- Firme
- Flash
- exploit de préstamo flash
- Desde
- función
- fondo
- fondos
- promover
- gobierno
- A Mitad
- Retenida
- Sin embargo
- HTTPS
- in
- Incentivos
- incentivado
- incluir
- aseguradora
- COMPLETAMENTE
- Emisor
- IT
- SUS
- labs
- large
- Apellidos
- El año pasado
- de derecho criminal
- aplicación de la ley
- prestamista
- préstamo
- protocolo de préstamos
- LIDO
- liquidar
- LIQUIDADO
- Liquidación
- Liquidez
- fondos de liquidez
- préstamo
- cerrado
- de
- Baja
- LPs
- gran
- gestionado
- Mercado
- Industrias
- máximas
- combinar
- Moda
- dinero
- mercado de dinero
- meses
- hace casi
- Noción
- obtenido
- octubre
- of
- Ofrecido
- que ofrece
- on
- ONE
- Inteligente
- Revisar
- parte
- peckshield
- Plataformas
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- Albercas
- posición
- abiertas
- previamente
- precio
- política de privacidad
- protocolo
- protocolos
- propósito
- poner
- pregunta
- Rate
- Recuperar
- recuperación
- se refiere
- liberado
- permanece
- repetido
- representar
- Reservar
- resultado
- Riesgo
- mismo
- dice
- EN LINEA
- set
- chica
- inteligente
- Cadena inteligente
- contrato inteligente
- So
- Fuente
- stablecoin
- es la
- STETH
- robada
- fondos robados
- Sufre
- equipo
- esa
- La
- su
- sí mismos
- A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos.
- a
- ficha
- Tokens
- demasiado
- tornado
- Tornado Cash
- Total
- valor total bloqueado
- seguir
- TVL
- tipos
- Uk
- submarino
- us
- USD
- USDC
- Usuario
- usuarios
- propuesta de
- variedad
- vulnerabilidad
- Wake
- wBTC
- ¿
- que
- mientras
- extensamente
- seguirá
- dentro de
- sin
- trabajando
- valor
- año
- zachxbt
- zephyrnet