Ошибка в коде активировала атаку Flash Loan
Euler, кредитный протокол, который по состоянию на вчерашний день содержал более 400 миллионов долларов пользовательских активов, использовался в течение почти $ 200M в том, что может стать крупнейшим эксплойтом DeFi в 2023 году.
Злоумышленнику удалось воровать почти 136 млн долларов в stETH Lido Finance, 34 млн долларов в USDC, 18.5 млн долларов в WBTC и 8.8 млн долларов в DAI.
Токен управления протоколом EUL потерял более половины своей стоимости после атаки.
Команда Эйлера подтвердил что он работает с TRM Labs, Chainalysis и более широким сообществом безопасности Ethereum, чтобы отслеживать и пытаться вернуть украденные средства. Правоохранительные органы Великобритании и США также были уведомлены.
Общая заблокированная стоимость Эйлера (TVL) в настоящее время составляет чуть более 10 миллионов долларов.
Уязвимая функция
Эксплойт связан с уязвимостью в функции смарт-контракта под названием 'пожертвовать для резервирования' это было добавлено в рамках капитального ремонта восемь месяцев назад и позволяет пользователям жертвовать небольшие балансы в резерв протокола.
Эйлер использует два типа токенов для отслеживания балансов пользователей. eTokens представляют собой залоговые активы, а dTokens — долги пользователей.
Позиции с кредитным плечом ликвидируются, когда баланс dToken пользователя превышает его баланс eToken, и ликвидаторы поощряются к этому с помощью скидки, предлагаемой протоколом для обеспечения бесперебойной работы.
Согласно Посмертный из Omniscia, одного из аудиторов Эйлера, основная проблема заключается в том, что функция пожертвования не включает «проверку здоровья», чтобы гарантировать, что пользователь остается адекватно обеспеченным после пожертвования.
В результате злоумышленник смог создать подводную позицию и ликвидировать себя, используя другой вредоносный контракт, созданный для этой цели.
Охранная фирма Пекшилд иллюстрированный например, атака с использованием рынка DAI Эйлера, который был использован за 8.8 млн долларов.
Коэффициент конверсии относится к скидке при ликвидации, которая в данном случае была установлена на максимум 25% из-за чрезвычайно низкого обеспечения счета после пожертвования.
Злоумышленник повторил тот же процесс, чтобы опустошить рынки stETH, WBTC и USDC, получив в общей сложности 197 миллионов долларов.
Ончейн-аналитик ZachXBT отметил, что тот же адрес ранее атаковал протокол DeFI в BNB Smart Chain за 346,000 XNUMX долларов и использовал микшер конфиденциальности Tornado Cash для отмывания этих средств.
Флэш-кредиты
Мгновенный кредит — это функция DeFi, которая позволяет пользователям занимать большие суммы денег без внесения залога. Однако кредит должен быть погашен в том же блоке Ethereum.
К сожалению, атаки с использованием флэш-кредитов слишком распространены в DeFi. В октябре 2021 года другой денежный рынок, Cream Finance, пострадал. $ 130M Эксплуатация флэш-кредита.
Злоумышленники истощены 3.2 млрд долларов США с платформ DeFi в прошлом году посредством различных атак.
Последствия DeFi
Euler широко интегрирован в более широкую экосистему DeFi благодаря сочетанию хорошей репутации и предложения стимулов ликвидности, и эксплойт затронул много протоколов которые либо размещали средства в Эйлере, либо имели косвенное воздействие.
Децентрализованная биржа Balancer — сказал что его аварийный subDAO приостановил все пулы ликвидности, содержащие доллары США, усиленные Эйлером (bbeUSD), и перевел bbeUSD в режим восстановления.
Команда Balancer говорит, что дальнейшего риска потерь нет. Он добавил, что LP bbeUSD смогут выйти из своих позиций, как только команда Эйлера получит дополнительную ясность.
Angle Protocol, эмитент стейблкоина agEUR с привязкой к евро, — сказал что он был подвержен влиянию USDC на сумму 17.6 млн долларов и выпустил Посмертный.
Рассматриваемый смарт-контракт был проверен компанией Sherlock, которая утвержденный выплата в размере 4.5 млн долларов из страхового фонда.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://thedefiant.io/euler-200m-exploit/
- :является
- 000
- 2021
- 2023
- 214
- a
- в состоянии
- Учетная запись
- актеры
- добавленный
- адрес
- адекватно
- Все
- позволяет
- суммы
- аналитик
- и
- Другой
- МЫ
- AS
- Активы
- At
- атаковать
- нападки
- аудит
- Аудиторы
- Баланс
- стабилизатор
- Остатки
- BE
- не являетесь
- Крупнейшая
- Заблокировать
- НББ
- Умная сеть BNB
- брать в долг
- шире
- Ошибка
- by
- под названием
- случаев
- Наличный расчёт
- цепь
- chainalysis
- ясность
- Залог
- Обеспечение
- сочетание
- Общий
- сообщество
- контракт
- Конверсия
- Основные
- Создайте
- создали
- В настоящее время
- DAI
- Defi
- DeFi экосистема
- дефи эксплойт
- платформы defi
- ПРОТОКОЛ DEFI
- депонированный
- скидка
- жертвовать
- осушенных
- экосистема
- или
- крайняя необходимость
- включен
- принуждение
- обеспечивать
- Эфириума
- безопасность эфириума
- ЕСУЛ
- пример
- превышает
- обмена
- Выход
- Эксплуатировать
- Эксплуатируемый
- подвергаться
- Экспозиция
- чрезвычайно
- Особенность
- финансы
- Фирма
- Flash
- использование быстрой ссуды
- Что касается
- от
- функция
- фонд
- средства
- далее
- управление
- Половина
- Герой
- Однако
- HTTPS
- in
- Стимулы
- стимулы
- включают
- страхование
- интегрированный
- вопрос
- эмитент
- IT
- ЕГО
- Labs
- большой
- Фамилия
- В прошлом году
- закон
- правоохранительной
- кредитор
- кредитование
- протокол кредитования
- LIDO
- ликвидировать
- ЛИКВИДИРОВАНО
- Ликвидация
- Ликвидность
- бассейны ликвидности
- варианты
- запертый
- от
- Низкий
- Пластинок
- основной
- управляемого
- рынок
- Области применения:
- максимальный
- сочетание
- режим
- деньги
- денежный рынок
- месяцев
- почти
- понятие
- полученный
- октябрь
- of
- предложенный
- предлагающий
- on
- ONE
- операция
- Капитальный ремонт
- часть
- Пекшилд
- Платформы
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Пулы
- должность
- позиции
- предварительно
- цена
- политикой конфиденциальности.
- процесс
- протокол
- протоколы
- цель
- положил
- вопрос
- Обменный курс
- Recover
- выздоровление
- понимается
- выпустил
- остатки
- повторный
- представлять
- Резерв
- результат
- Снижение
- то же
- говорит
- безопасность
- набор
- небольшой
- умный
- Умная цепь
- умный контракт
- So
- Источник
- stablecoin
- стоит
- STETH
- украли
- украденные средства
- Страдает
- команда
- который
- Ассоциация
- их
- сами
- Через
- в
- знак
- Лексемы
- слишком
- торнадо
- Торнадо Кэш
- Всего
- общая стоимость заблокирована
- трек
- TVL
- Типы
- Uk
- до подводных дронов
- us
- USD
- USDC
- Информация о пользователе
- пользователей
- ценностное
- разнообразие
- уязвимость
- Услуга
- wBTC
- Что
- , которые
- в то время как
- широко
- будете
- в
- без
- работает
- стоимость
- год
- Закхбт
- зефирнет