Code Bug aktivert Flash-lånangrep
Euler, en utlånsprotokoll som holdt over 400 millioner dollar av brukereiendeler i går, har blitt utnyttet i nesten $ 200M i det som kan være den største DeFi-utnyttelsen i 2023.
Det klarte angriperen stjele nesten $136M av Lido Finances stETH, $34M av USDC, $18.5M av WBTC og $8.8M i DAI.
Protokollens EUL-styringstoken mistet over halvparten av sin verdi i kjølvannet av angrepet.
Euler-teamet har bekreftet at det jobber med TRM Labs, Chainalysis og det bredere Ethereum-sikkerhetsfellesskapet for å spore og forsøke å gjenopprette de stjålne midlene. Politiet i Storbritannia og USA er også varslet.
Eulers totale verdi låst (TVL) er for tiden på litt over $10 millioner.
Sårbar funksjon
Utnyttelsen stammet fra en sårbarhet i en smart kontraktsfunksjon kalt 'donateToReserve' som ble lagt til som en del av en større overhaling for åtte måneder siden og lar brukere donere små saldoer til protokollens reserve.
Euler bruker to typer tokens for å spore brukerbalanser. eTokens representerer sikkerheter, mens dTokens representerer brukernes gjeld.
Leveraged posisjoner likvideres når en brukers dToken-saldo overstiger deres eToken-saldo, og likvidatorer oppmuntres til å gjøre det gjennom en rabatt som tilbys av protokollen for å sikre jevn drift.
I henhold til a post-mortem fra Omniscia, en av Eulers revisorer, er kjerneproblemet at donasjonsfunksjonen ikke inkluderer en "helsesjekk" for å sikre at brukeren forblir tilstrekkelig sikret etter donasjon.
Som et resultat var angriperen i stand til å opprette en undervannsposisjon og likvidere seg selv ved å bruke en annen ondsinnet kontrakt opprettet for det formålet.
Sikkerhetsfirmaet Peckshield illustrert angrepet med Eulers DAI-marked, som ble utnyttet for 8.8 millioner dollar, som et eksempel.
Konverteringskursen refererer til likvidasjonsrabatten, som ble satt til maksimalt 25 % i dette tilfellet på grunn av den ekstremt lave sikkerheten til kontoen etter donasjonen.
Angriperen gjentok den samme prosessen for å tømme stETH-, WBTC- og USDC-markedene, og samlet inn $197 millioner.
On-chain analytiker ZachXBT bemerket at den samme adressen tidligere hadde angrepet en DeFI-protokoll på BNB Smart Chain for $346,000 XNUMX og brukt personvernmikseren Tornado Cash for å hvitvaske disse midlene.
Flash-lån
Et flashlån er en DeFi-funksjon som lar brukere låne store mengder penger uten å stille noen sikkerhet. Imidlertid må lånet tilbakebetales innenfor samme Ethereum-blokk.
Flash-lånsangrep er dessverre altfor vanlig i DeFi. I oktober 2021 led et annet pengemarked, Cream Finance, en $ 130M flash lån utnytte.
Ondsinnede aktører tappet $ 3.2 milliarder fra DeFi-plattformer i fjor gjennom en rekke angrep.
DeFi Fallout
Euler er vidt integrert med det bredere DeFi-økosystemet på grunn av en kombinasjon av å være godt ansett og tilby likviditetsinsentiver, og utnyttelsen har påvirket mange protokoller som enten deponerte midler i Euler eller hadde indirekte eksponering.
Desentralisert utveksling Balancer sa at dens nødsubDAO har satt alle likviditetspooler som inneholder Euler-forsterkede USD (bbeUSD) på pause og satt bbeUSD i gjenopprettingsmodus.
Balancer-teamet sier at det ikke er noen ytterligere risiko for tap. Den la til at bbeUSD LP-er vil kunne forlate sine posisjoner når ytterligere klarhet er oppnådd fra Euler-teamet.
Angle Protocol, utstederen av den euro-festede agEUR stablecoin, sa at den ble utsatt for USDC verdt 17.6 millioner dollar og har gitt ut en post-mortem.
Den aktuelle smartkontrakten ble revidert av Sherlock, som har godkjent en utbetaling på $4.5 millioner fra forsikringsfondet.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
- kilde: https://thedefiant.io/euler-200m-exploit/
- :er
- 000
- 2021
- 2023
- 214
- a
- I stand
- Logg inn
- aktører
- la til
- adresse
- tilstrekkelig
- Alle
- tillater
- beløp
- analytiker
- og
- En annen
- ER
- AS
- Eiendeler
- At
- angripe
- Angrep
- revidert
- revisorer
- Balansere
- swing
- balanserer
- BE
- være
- Biggest
- Blokker
- BNB
- BNB Smart kjede
- låne
- bredere
- Bug
- by
- som heter
- saken
- Kontanter
- kjede
- chainalysis
- klarhet
- Collateral
- sikkerhet
- kombinasjon
- Felles
- samfunnet
- kontrakt
- Konvertering
- Kjerne
- skape
- opprettet
- I dag
- DAI
- Defi
- DeFi-økosystem
- defi utnytte
- defi plattformer
- DEFI-PROTOKOLL
- deponert
- Rabatt
- donerte
- drenert
- økosystem
- enten
- nødsituasjon
- aktivert
- håndhevelse
- sikre
- ethereum
- ethereum sikkerhet
- EUL
- eksempel
- stiger
- utveksling
- Utgang
- Exploit
- Exploited
- utsatt
- Eksponering
- ekstremt
- Trekk
- finansiere
- Firm
- Blitz
- flash lån utnytte
- Til
- fra
- funksjon
- fond
- midler
- videre
- styresett
- Halvparten
- Held
- Men
- HTTPS
- in
- Incentiver
- insentivisert
- inkludere
- forsikring
- integrert
- utstedelse
- utsteder
- IT
- DET ER
- Labs
- stor
- Siste
- I fjor
- Law
- rettshåndhevelse
- utlåner
- utlån
- utlånsprotokoll
- LIDO
- likvidere
- LIKVIDERERT
- avvikling
- Likviditet
- likviditetsbassenger
- lån
- låst
- tap
- Lav
- LP
- større
- fikk til
- marked
- Markets
- maksimal
- mikser
- Mote
- penger
- penge marked
- måneder
- nesten
- Forestilling
- innhentet
- oktober
- of
- tilbudt
- tilby
- on
- ONE
- drift
- overhaling
- del
- Peckshield
- Plattformer
- plato
- Platon Data Intelligence
- PlatonData
- pools
- posisjon
- stillinger
- tidligere
- pris
- privatliv
- prosess
- protokollen
- protokoller
- formål
- sette
- spørsmål
- Sats
- Gjenopprette
- utvinning
- refererer
- utgitt
- forblir
- gjentatt
- representere
- Reserve
- resultere
- Risiko
- samme
- sier
- sikkerhet
- sett
- liten
- Smart
- Smart kjede
- smart kontrakt
- So
- kilde
- stablecoin
- står
- steth
- stjålet
- stjålne midler
- lider
- lag
- Det
- De
- deres
- seg
- Gjennom
- til
- token
- tokens
- også
- tornado
- TornadoCash
- Totalt
- total verdi låst
- spor
- TVL
- typer
- Uk
- undervanns
- us
- USD
- USDC
- Bruker
- Brukere
- verdi
- variasjon
- sårbarhet
- Wake
- wBTC
- Hva
- hvilken
- mens
- allment
- vil
- med
- innenfor
- uten
- arbeid
- verdt
- år
- Zachxbt
- zephyrnet