Code-bug ingeschakeld Flash-leningaanval
Euler, een uitleenprotocol dat gisteren meer dan $ 400 miljoen aan gebruikerstegoeden bezat, wordt al bijna $ 200M in wat misschien wel de grootste DeFi-exploit van 2023 is.
Het is de aanvaller gelukt stelen bijna $ 136 miljoen aan stETH van Lido Finance, $ 34 miljoen aan USDC, $ 18.5 miljoen aan WBTC en $ 8.8 miljoen aan DAI.
Het EUL-governancetoken van het protocol verloor meer dan de helft van zijn waarde in de nasleep van de aanval.
Het Euler-team heeft bevestigd dat het samenwerkt met TRM Labs, Chainalysis en de bredere Ethereum-beveiligingsgemeenschap om de gestolen fondsen op te sporen en te proberen terug te vorderen. Britse en Amerikaanse wetshandhavers zijn ook op de hoogte gebracht.
De totale waarde vergrendeld (TVL) van Euler staat momenteel op iets meer dan $ 10 miljoen.
Kwetsbare functie
De exploit vloeide voort uit een kwetsbaarheid in een slimme contractfunctie genaamd 'donateToReserve' dat is acht maanden geleden toegevoegd als onderdeel van een grote revisie en stelt gebruikers in staat om kleine bedragen te doneren aan de reserve van het protocol.
Euler gebruikt twee soorten tokens om gebruikerssaldi bij te houden. eTokens vertegenwoordigen onderpand, terwijl dTokens de schulden van gebruikers vertegenwoordigen.
Hefboomposities worden geliquideerd wanneer het dToken-saldo van een gebruiker zijn eToken-saldo overschrijdt, en vereffenaars worden gestimuleerd om dit te doen door middel van een korting die door het protocol wordt aangeboden om een โโsoepele werking te garanderen.
Volgens a na de dood van Omniscia, een van de auditors van Euler, is het kernprobleem dat de donatiefunctie geen 'gezondheidscontrole' omvat om ervoor te zorgen dat de gebruiker na de donatie voldoende verzekerd blijft.
Als gevolg hiervan kon de aanvaller een positie onder water creรซren en zichzelf liquideren met behulp van een ander kwaadaardig contract dat voor dat doel was gemaakt.
Beveiligingsbedrijf Peckshield geรฏllustreerd de aanval met als voorbeeld de DAI-markt van Euler, die voor $ 8.8 miljoen werd uitgebuit.
Het omrekeningspercentage verwijst naar de liquidatiekorting, die in dit geval op maximaal 25% was vastgesteld vanwege de extreem lage zekerheden van de rekening na schenking.
De aanvaller herhaalde hetzelfde proces om de stETH-, WBTC- en USDC-markten leeg te maken, wat een totaal van $ 197 miljoen opleverde.
On-chain analist ZachXBT bekend dat hetzelfde adres eerder een DeFI-protocol op BNB Smart Chain had aangevallen voor $ 346,000 en privacymixer Tornado Cash had gebruikt om dat geld wit te wassen.
Flash-leningen
Een flitslening is een DeFi-functie waarmee gebruikers grote hoeveelheden geld kunnen lenen zonder onderpand te storten. De lening moet echter binnen hetzelfde Ethereum-blok worden terugbetaald.
Aanvallen met flitsleningen komen helaas maar al te vaak voor in DeFi. In oktober 2021 leed een andere geldmarkt, Cream Finance, een $ 130M uitbuiting van flitsleningen.
Kwaadwillende acteurs zijn leeggelopen $ 3.2 miljard van DeFi-platforms vorig jaar door verschillende aanvallen.
DeFi-uitval
Euler is breed geรฏntegreerd met het bredere DeFi-ecosysteem vanwege een combinatie van een goede reputatie en het bieden van liquiditeitsprikkels, en de exploit heeft gevolgen gehad veel protocollen die geld in Euler hebben gestort of indirect zijn blootgesteld.
Gedecentraliseerde exchange Balancer zei dat zijn nood-subDAO alle liquiditeitspools met Euler-boosted USD (bbeUSD) heeft gepauzeerd en bbeUSD in herstelmodus heeft gezet.
Het Balancer-team zegt dat er geen verder risico op verlies is. Het voegde eraan toe dat bbeUSD LP's hun posities kunnen verlaten zodra er meer duidelijkheid is verkregen van het Euler-team.
Angle Protocol, de uitgever van de aan de euro gekoppelde agEUR stablecoin, zei dat het werd blootgesteld aan USDC ter waarde van $ 17.6 miljoen en een na de dood.
Het betreffende slimme contract is gecontroleerd door Sherlock, dat heeft goedgekeurd een uitbetaling van $ 4.5 miljoen uit het verzekeringsfonds.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://thedefiant.io/euler-200m-exploit/
- :is
- 000
- 2021
- 2023
- 214
- a
- in staat
- Account
- actoren
- toegevoegd
- adres
- voldoende
- Alles
- toestaat
- hoeveelheden
- analist
- en
- Nog een
- ZIJN
- AS
- Activa
- At
- aanvallen
- Aanvallen
- gecontroleerd
- accountants
- Balance
- balancer
- saldi
- BE
- wezen
- Grootste
- Blok
- bnb
- BNB slimme ketting
- lenen
- bredere
- Bug
- by
- Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
- geval
- Contant geld
- keten
- chainalysis
- helderheid
- Collateral
- onderpand
- combinatie van
- Gemeen
- gemeenschap
- contract
- Camper ombouw
- Kern
- en je merk te creรซren
- aangemaakt
- Op dit moment
- DAI
- Defi
- DeFi ecosysteem
- defi exploiteren
- defi-platforms
- DEFI-PROTOCOL
- gedeponeerd
- Korting
- schenken
- gedraineerd
- ecosysteem
- beide
- noodgeval
- ingeschakeld
- handhaving
- verzekeren
- ethereum
- etherische beveiliging
- EUL
- voorbeeld
- overschrijdt
- uitwisseling
- afrit
- Exploiteren
- Exploited
- blootgestelde
- Media
- uiterst
- Kenmerk
- financiรซn
- Stevig
- flash
- flitslening exploit
- Voor
- oppompen van
- functie
- fonds
- fondsen
- verder
- Kopen Google Reviews
- bestuur
- Helft
- Held
- Echter
- HTTPS
- in
- Incentives
- gestimuleerd
- omvatten
- verzekering
- geรฏntegreerde
- kwestie
- Emittent
- IT
- HAAR
- Labs
- Groot
- Achternaam*
- Afgelopen jaar
- Wet
- politie
- geldschieter
- kredietverlening
- uitleenprotocol
- LIDO
- liquideren
- GELIQUIDEERD
- Vereffening
- Liquiditeit
- liquiditeitspools
- lening
- opgesloten
- uit
- Laag
- LPs
- groot
- beheerd
- Markt
- Markten
- maximaal
- menger
- Mode
- geld
- geld Markt
- maanden
- bijna
- notie
- verkregen
- oktober
- of
- aangeboden
- het aanbieden van
- on
- EEN
- operatie
- Revisie
- deel
- Peckschild
- platforms
- Plato
- Plato gegevensintelligentie
- PlatoData
- Zwembaden
- positie
- posities
- die eerder
- prijs
- privacy
- protocol
- protocollen
- doel
- zetten
- vraag
- tarief
- Herstellen
- na een training
- verwijst
- uitgebracht
- stoffelijk overschot
- herhaald
- vertegenwoordigen
- Reserveren
- resultaat
- Risico
- dezelfde
- zegt
- veiligheid
- reeks
- Klein
- slim
- Slimme ketting
- slim contract
- So
- bron
- stablecoin
- staat
- STETH
- gestolen
- gestolen geld
- lijdt
- team
- dat
- De
- hun
- zich
- Door
- naar
- teken
- tokens
- ook
- tornado
- TornadoCash
- Totaal
- totale waarde vergrendeld
- spoor
- TVL
- X
- types
- Uk
- onder water
- us
- USD
- USDC
- Gebruiker
- gebruikers
- waarde
- variรซteit
- kwetsbaarheid
- Wake
- wBTC
- Wat
- welke
- en
- wijd
- wil
- Met
- binnen
- zonder
- werkzaam
- waard
- jaar
- Zachxbt
- zephyrnet