Ataque de empréstimo flash ativado por bug de código
Euler, um protocolo de empréstimo que detinha mais de US$ 400 milhões em ativos de usuários até ontem, foi explorado por quase $ 200M no que pode ser a maior exploração de DeFi de 2023.
O atacante conseguiu roubar quase US$ 136 milhões em stETH da Lido Finance, US$ 34 milhões em USDC, US$ 18.5 milhões em WBTC e US$ 8.8 milhões em DAI.
O token de governança EUL do protocolo perdeu mais da metade de seu valor após o ataque.
A equipe de Euler tem confirmado que está trabalhando com TRM Labs, Chainalysis e a comunidade de segurança Ethereum mais ampla para rastrear e tentar recuperar os fundos roubados. As autoridades do Reino Unido e dos EUA também foram notificadas.
O valor total bloqueado (TVL) de Euler está atualmente em pouco mais de US$ 10 milhões.
Função Vulnerável
A exploração resultou de uma vulnerabilidade em uma função de contrato inteligente chamada ‘doarParaReservar’ que foi adicionado como parte de uma grande reforma há oito meses e permite aos usuários doar pequenos saldos para a reserva do protocolo.
Euler usa dois tipos de tokens para rastrear os saldos dos usuários. Os eTokens representam ativos colaterais, enquanto os dTokens representam as dívidas dos usuários.
As posições alavancadas são liquidadas quando o saldo de dToken de um usuário excede seu saldo de eToken, e os liquidantes são incentivados a fazê-lo por meio de um desconto oferecido pelo protocolo para garantir um bom funcionamento.
Como por um Post-mortem da Omniscia, um dos auditores da Euler, a questão central é que a função de doação não inclui um “exame de saúde” para garantir que o usuário permaneça adequadamente garantido após a doação.
Como resultado, o atacante conseguiu criar uma posição subaquática e liquidar-se utilizando outro contrato malicioso criado para esse fim.
empresa de segurança Peckshield ilustrado o ataque usando o mercado DAI de Euler, que foi explorado por US$ 8.8 milhões, como exemplo.
A taxa de conversão refere-se ao desconto de liquidação, que neste caso foi fixado no máximo de 25% devido à baixíssima garantia da conta pós-doação.
O invasor repetiu o mesmo processo para drenar os mercados stETH, WBTC e USDC, arrecadando um total de US$ 197 milhões.
Analista on-chain ZachXBT notado que o mesmo endereço já havia atacado um protocolo DeFI no BNB Smart Chain por US$ 346,000 e usado o misturador de privacidade Tornado Cash para lavar esses fundos.
Empréstimos instantâneos
Um empréstimo instantâneo é um recurso DeFi que permite aos usuários emprestar grandes quantias de dinheiro sem depositar qualquer garantia. No entanto, o empréstimo deve ser reembolsado dentro do mesmo bloco Ethereum.
Infelizmente, ataques instantâneos de empréstimos são muito comuns no DeFi. Em outubro de 2021, outro mercado monetário, Cream Finance, sofreu uma queda $ 130M exploração de empréstimo instantâneo.
Atores maliciosos drenados US$ 3.2 bilhões das plataformas DeFi no ano passado por meio de uma variedade de ataques.
Queda de DeFi
Euler está amplamente integrado ao ecossistema DeFi mais amplo devido a uma combinação de ser bem visto e oferecer incentivos de liquidez, e a exploração afetou muitos protocolos que depositaram fundos na Euler ou tiveram exposição indireta.
Balanceador de câmbio descentralizado dito que seu subDAO de emergência pausou todos os pools de liquidez contendo USD impulsionado por Euler (bbeUSD) e colocou bbeUSD em modo de recuperação.
A equipe do Balancer afirma que não há mais risco de perda. Acrescentou que os LPs bbeUSD poderão sair de suas posições assim que mais clareza for obtida da equipe Euler.
Angle Protocol, o emissor da stablecoin agEUR indexada ao euro, dito que foi exposto ao valor de US$ 17.6 milhões em USDC e lançou um Post-mortem.
O contrato inteligente em questão foi auditado pela Sherlock, que aprovou um pagamento de US$ 4.5 milhões de seu fundo de seguro.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
- Fonte: https://thedefiant.io/euler-200m-exploit/
- :é
- 000
- 2021
- 2023
- 214
- a
- Capaz
- Conta
- atores
- adicionado
- endereço
- adequadamente
- Todos os Produtos
- permite
- quantidades
- analista
- e
- Outro
- SOMOS
- AS
- Ativos
- At
- ataque
- Ataques
- auditadas
- auditores
- Equilíbrio
- balanceador
- saldos
- BE
- ser
- O maior
- Bloquear
- bnb
- Cadeia Inteligente BNB
- pedir emprestado
- mais amplo
- Bug
- by
- chamado
- casas
- dinheiro
- cadeia
- chainalysis
- clareza
- Colateral
- garantido
- combinação
- comum
- comunidade
- contract
- Conversão
- núcleo
- crio
- criado
- Atualmente
- DAI
- DeFi
- Ecossistema DeFi
- explorar defi
- plataformas de defi
- PROTOCOLO DEFI
- depositado
- Desconto
- doar
- drenado
- ecossistema
- ou
- kit
- habilitado
- aplicação
- garantir
- ethereum
- segurança ethereum
- EUL
- exemplo
- excede
- exchange
- saída
- Explorar
- exploradas
- exposto
- Exposição
- extremamente
- Característica
- financiar
- Empresa
- Flash
- exploração de empréstimo rápido
- Escolha
- da
- função
- fundo
- fundos
- mais distante
- governo
- Metade
- Herói
- Contudo
- HTTPS
- in
- incentivos
- incentivado
- incluir
- com seguro
- integrado
- emitem
- Emissora
- IT
- ESTÁ
- Laboratório
- grande
- Sobrenome
- Ano passado
- Escritórios de
- aplicação da lei
- emprestador
- empréstimo
- protocolo de empréstimo
- LIDO
- liquidar
- LIQUIDADO
- Liquidação
- Liquidez
- pools de liquidez
- empréstimo
- trancado
- fora
- Baixo
- LPs
- principal
- gerenciados
- mercado
- Mercados
- máximo
- conjugar
- Moda
- dinheiro
- mercado monetário
- mês
- quase
- Noção
- obtido
- Outubro
- of
- oferecido
- oferecendo treinamento para distância
- on
- ONE
- operação
- Inspecionar
- parte
- PeckShield
- Plataformas
- platão
- Inteligência de Dados Platão
- PlatãoData
- Piscinas
- posição
- abertas
- anteriormente
- preço
- política de privacidade
- processo
- protocolo
- protocolos
- propósito
- colocar
- questão
- Taxa
- Recuperar
- recuperação
- refere-se
- liberado
- permanece
- repetido
- representar
- Reservar
- resultar
- Risco
- mesmo
- diz
- segurança
- conjunto
- pequeno
- smart
- Corrente Inteligente
- smart contract
- So
- fonte
- stablecoin
- fica
- stETH
- roubado
- fundos roubados
- Sofre
- Profissionais
- que
- A
- deles
- si mesmos
- Através da
- para
- token
- Tokens
- também
- tornado
- Tornado Cash
- Total
- valor total bloqueado
- pista
- televisão
- tipos
- Uk
- subaquático
- us
- USD
- USDC
- Utilizador
- usuários
- valor
- variedade
- vulnerabilidade
- Acordar
- wBTC
- O Quê
- qual
- enquanto
- largamente
- precisarão
- de
- dentro
- sem
- trabalhar
- Equivalente há
- ano
- ZachxbtGenericName
- zefirnet