Kodbugg aktiverad flashlånsattack
Euler, ett låneprotokoll som innehöll över 400 miljoner USD i användartillgångar från och med igår, har utnyttjats i nästan $ 200M i vad som kan vara den största DeFi-exploateringen 2023.
Angriparen lyckades stjäla nästan 136 miljoner USD av Lido Finances stETH, 34 miljoner USD i USDC, 18.5 miljoner USD i WBTC och 8.8 miljoner USD i DAI.
Protokollets EUL-styrningstoken förlorade över hälften av sitt värde i kölvattnet av attacken.
Euler-teamet har bekräftade att det arbetar med TRM Labs, Chainalysis och den bredare säkerhetsgemenskapen Ethereum för att spåra och försöka återvinna de stulna medlen. Brittiska och amerikanska brottsbekämpande myndigheter har också underrättats.
Eulers totala värde låst (TVL) ligger för närvarande på drygt 10 miljoner dollar.
Sårbar funktion
Exploateringen härrörde från en sårbarhet i en smart kontraktsfunktion som kallas 'donateToReserve' som lades till som en del av en större översyn för åtta månader sedan och tillåter användare att donera små saldon till protokollets reserv.
Euler använder två typer av tokens för att spåra användarbalanser. eTokens representerar säkerhetstillgångar, medan dTokens representerar användarnas skulder.
Hävstångspositioner likvideras när en användares dToken-saldo överstiger deras eToken-saldo, och likvidatorer uppmuntras att göra det genom en rabatt som erbjuds av protokollet för att säkerställa smidig drift.
Enligt a obduktion från Omniscia, en av Eulers revisorer, är kärnfrågan att donationsfunktionen inte inkluderar en "hälsokontroll" för att säkerställa att användaren förblir tillräckligt skyddad efter donationen.
Som ett resultat kunde angriparen skapa en undervattensposition och likvidera sig själva med hjälp av ett annat skadligt kontrakt skapat för detta ändamål.
Säkerhetsföretaget Peckshield illustrerad attacken med Eulers DAI-marknad, som utnyttjades för $8.8 miljoner, som ett exempel.
Konverteringskursen avser likvidationsrabatten, som i detta fall sattes till max 25 % på grund av den extremt låga säkerheten på kontot efter donation.
Angriparen upprepade samma process för att tömma stETH-, WBTC- och USDC-marknaderna och samlade in totalt $197 miljoner.
On-chain analytiker ZachXBT noterade att samma adress tidigare hade attackerat ett DeFI-protokoll på BNB Smart Chain för $346,000 XNUMX och använt sekretessmixern Tornado Cash för att tvätta dessa medel.
Flash-lån
Ett flashlån är en DeFi-funktion som tillåter användare att låna stora summor pengar utan att ställa några säkerheter. Lånet måste dock återbetalas inom samma Ethereum-block.
Flashlånsattacker är tyvärr alltför vanliga i DeFi. I oktober 2021 drabbades en annan penningmarknad, Cream Finance, av en $ 130M exploatering av flashlån.
Skadliga aktörer dränerade $ 3.2 miljarder från DeFi-plattformar förra året genom en mängd olika attacker.
DeFi Fallout
Euler är brett integrerat med det bredare DeFi-ekosystemet på grund av en kombination av att vara väl ansedd och erbjuda likviditetsincitament, och exploateringen har påverkat många protokoll att antingen deponerade medel i Euler eller hade indirekt exponering.
Decentraliserad växlingsbalanserare sade att dess nödsubDAO har pausat alla likviditetspooler som innehåller Euler-förstärkta USD (bbeUSD), och satt bbeUSD i återhämtningsläge.
Balancer-teamet säger att det inte finns någon ytterligare risk för förlust. Den tillade att bbeUSD LP-skivor kommer att kunna lämna sina positioner när ytterligare klarhet erhålls från Euler-teamet.
Angle Protocol, emittenten av det eurobundna agEUR stablecoin, sade att den exponerades för USDC till ett värde av 17.6 miljoner USD och har släppt en obduktion.
Det smarta kontraktet i fråga granskades av Sherlock, som har godkänd en utbetalning på 4.5 miljoner USD från dess försäkringskassa.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
- Källa: https://thedefiant.io/euler-200m-exploit/
- :är
- 000
- 2021
- 2023
- 214
- a
- Able
- Konto
- aktörer
- lagt till
- adress
- adekvat
- Alla
- tillåter
- mängder
- analytiker
- och
- Annan
- ÄR
- AS
- Tillgångar
- At
- attackera
- Attacker
- granskas
- revisorer
- Balansera
- gunga
- saldon
- BE
- Där vi får lov att vara utan att konstant prestera,
- störst
- Blockera
- bnB
- BNB Smart kedja
- låna
- bredare
- Bug
- by
- kallas
- Vid
- Kontanter
- kedja
- chainalysis
- klarhet
- Säkerheter
- säkerheter
- kombination
- Gemensam
- samfundet
- kontrakt
- Konvertering
- Kärna
- skapa
- skapas
- För närvarande
- DAI
- Defi
- DeFi-ekosystem
- defi utnyttja
- defi-plattformar
- DEFI-PROTOKOLL
- avsatt
- Rabatt
- donera
- dränerad
- ekosystemet
- antingen
- nödsituation
- aktiverad
- tillämpning
- säkerställa
- ethereum
- ethereum säkerhet
- EUL
- exempel
- överstiger
- utbyta
- Utgång
- Exploit
- utnyttjas
- utsatta
- Exponering
- extremt
- Leverans
- finansiering
- Firm
- Blixt
- blixtlån utnyttjar
- För
- från
- fungera
- fond
- fonder
- ytterligare
- styrning
- Hälften
- Held
- Men
- HTTPS
- in
- incitament
- incitament
- innefattar
- försäkring
- integrerade
- fråga
- emittent
- IT
- DESS
- Labs
- Large
- Efternamn
- Förra året
- Lag
- brottsbekämpning
- långivare
- utlåning
- utlåningsprotokoll
- FRILUFTSBAD
- likvidera
- LIKVIDERAT
- Likvidation
- Likviditet
- likviditetspooler
- lån
- låst
- förlust
- Låg
- LP
- större
- förvaltade
- marknad
- Marknader
- maximal
- blandare
- Mode
- pengar
- pengar marknad
- månader
- nästan
- Begrepp
- erhållna
- oktober
- of
- erbjuds
- erbjuda
- on
- ONE
- drift
- Renoverings
- del
- Peckshield
- Plattformar
- plato
- Platon Data Intelligence
- PlatonData
- Pools
- placera
- positioner
- tidigare
- pris
- privatpolicy
- process
- protokoll
- protokoll
- Syftet
- sätta
- fråga
- Betygsätta
- Recover
- återvinning
- hänvisar
- frigörs
- resterna
- upprepade
- representerar
- Reserv
- resultera
- Risk
- Samma
- säger
- säkerhet
- in
- Small
- smarta
- Smart kedja
- smart kontrakt
- So
- Källa
- stablecoin
- står
- steth
- stulna
- stulna medel
- lider
- grupp
- den där
- Smakämnen
- deras
- sig själva
- Genom
- till
- token
- tokens
- alltför
- tornado
- TornadoCash
- Totalt
- totalt värde låst
- spår
- TVL
- typer
- Uk
- undervattens
- us
- USD
- USDC
- Användare
- användare
- värde
- mängd
- sårbarhet
- Vakna
- wBTC
- Vad
- som
- medan
- brett
- kommer
- med
- inom
- utan
- arbetssätt
- värt
- år
- Zachxbt
- zephyrnet