Protocole de prêt de la finance décentralisée (DeFi) Euler Finance a été victime d’une attaque de prêt sur salaire le 13 mars, entraînant le plus grand piratage cryptographique de 2023 à ce jour. Le protocole de prêt a perdu près de 197 millions de dollars dans l’attaque et a également affecté plus de 11 autres protocoles DeFi.
Le 14 mars, Euler a fait le point sur la situation, informant ses utilisateurs qu’ils avaient désactivé le module vulnérable etoken pour bloquer les dépôts et la fonction de don vulnérable.
La société a déclaré qu’elle travaillait avec divers groupes de sécurité pour effectuer des audits de ses protocoles, et le code vulnérable a été examiné et approuvé par un audit externe. La vulnérabilité n’a pas été découverte dans le cadre de l’audit.
Un de nos examinateurs, @Omniscia_sec, a préparé une intervention chirurgicale technique et a analysé l’attaque en détail. Vous pouvez lire leur rapport ici : https://t.co/u4Z2xdutwe
Bref, l’attaquant a exploité un code vulnérable qui lui a permis de générer une dette symbolique non protégée… https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) 14 mars 2023
La vulnérabilité est restée dans la chaîne pendant huit mois jusqu’à ce qu’elle soit corrigée, malgré un correctif d’un million de dollars.
Sherlock, un groupe d’audit qui a travaillé avec Euler Finance dans le passé, a vérifié l’origine de l’attaque et a aidé Euler à déposer une réclamation. La commission d’examen a ensuite voté sur la réclamation de 4,5 millions de dollars, qui a approuvé, puis a effectué un paiement de 3,3 millions de dollars le 14 mars.
Dans son rapport d’analyse, l’équipe de révision a identifié une fonctionnalité importante pour l’exploitation : un bilan de santé manquant dans “donateToReserves”, une nouvelle fonction ajoutée dans EIP-14. Cependant, le protocole a souligné que l’attaque était encore techniquement possible même avant EIP-14.
En relation: Plus de 280 blockchains à risque d’exploits “zero-day”, avertit une société de sécurité
Sherlock a noté que l’audit Euler de juillet 2022 de WatchPug a manqué la vulnérabilité critique qui a finalement conduit à l’exploit de mars 2023.
De même, Sherlock soutient chaque comptable qui a surpassé Euler.
Sherlock a d’abord travaillé avec @cmichelio de réviser la première édition d’Euler en décembre 2021, puis incl @ shw9453 pour revoir une toute petite mise à jour en janvier 2022, et enfin avec @WatchPug_ pour réviser l’EIP-14 en juillet 2022.
– SHERLOCK (@sherlockdefi) 13 mars 2023
Euler a également contacté les principales sociétés d’analyse de chaîne et de sécurité blockchain, telles que TRM Labs, Chainalysis et la communauté de sécurité ETH au sens large, afin de les aider dans l’enquête et la récupération des fonds.
Euler a annoncé qu’ils essayaient également de contacter les responsables de l’attaque pour obtenir plus d’informations sur l’affaire et éventuellement négocier des fonds pour récupérer l’argent volé.