Protocol benthyca cyllid datganoledig (DeFi) Daeth Euler Finance i ddioddef ymosodiad fflach fenthyciad ar Fawrth 13, gan arwain at yr hac crypto mwyaf yn 2023 hyd yn hyn. Collodd y protocol benthyca bron i $197 miliwn yn yr ymosodiad ac effeithiodd ar fwy nag 11 o brotocolau DeFi eraill hefyd.
Ar Fawrth 14, daeth Euler allan gyda diweddariad ar y sefyllfa a hysbysodd ei ddefnyddwyr eu bod wedi analluogi'r modiwl Etoken sy'n agored i niwed i rwystro adneuon a'r swyddogaeth rhoddion agored i niwed.
Dywedodd y cwmni eu bod yn gweithio gydag amrywiol grwpiau diogelwch i gynnal archwiliadau o'i brotocol, a chafodd y cod bregus ei adolygu a'i gymeradwyo yn ystod archwiliad allanol. Ni ddarganfuwyd y bregusrwydd fel rhan o'r archwiliad.
Un o’n partneriaid archwilio, @Omniscia_sec, paratoi post-mortem technegol a dadansoddi'r ymosodiad yn fanwl iawn. Gallwch ddarllen eu hadroddiad yma: https://t.co/u4Z2xdutwe
Yn fyr, manteisiodd yr ymosodwr ar god bregus a oedd yn caniatáu iddo greu dyled tocyn heb ei gefnogi… https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) Mawrth 14, 2023
Arhosodd y bregusrwydd ar y gadwyn am wyth mis nes iddo gael ei ecsbloetio, er gwaethaf bounty byg $1 miliwn yn ei le yn ystod y cyfnod hwnnw.
Fe wnaeth Sherlock, grŵp archwilio sydd wedi gweithio gydag Euler Finance yn y gorffennol, wirio achos sylfaenol y camfanteisio a helpu Euler i gyflwyno hawliad. Yn ddiweddarach cynhaliodd y protocol archwilio bleidlais ar yr hawliad am $4.5 miliwn, a basiwyd ac yn ddiweddarach gweithredodd daliad o $3.3 miliwn ar Fawrth 14.
Nododd y grŵp archwilio, yn ei adroddiad dadansoddi, mai un o’r prif ffactorau ar gyfer y camfanteisio oedd gwiriad iechyd coll yn DonateToReserves(), swyddogaeth newydd a ychwanegwyd yn EIP-14. Fodd bynnag, pwysleisiodd y protocol fod yr ymosodiad yn dal yn dechnegol bosibl hyd yn oed cyn bodolaeth EIP-14.
Cysylltiedig: Mwy na 280 o gadwyni bloc mewn perygl o orchestion 'dim diwrnod', yn rhybuddio'r cwmni diogelwch
Nododd Sherlock fod archwiliad Euler gan WatchPug ym mis Gorffennaf 2022 wedi methu’r bregusrwydd critigol a arweiniodd yn y pen draw at y camfanteisio ym mis Mawrth 2023.
Yn yr un modd, mae Sherlock yn sefyll y tu ôl i bob archwilydd a adolygodd Euler.
Gweithiodd Sherlock gyda hi i ddechrau @cmichelio i archwilio fersiwn gyntaf Euler ym mis Rhagfyr 2021, yna gyda @shw9453 i archwilio diweddariad bach iawn ym mis Ionawr 2022, ac yn olaf gyda @WatchPug_ archwilio EIP-14 ym mis Gorffennaf 2022.
— SHERLOCK (@sherlockdefi) Mawrth 13, 2023
Mae Euler hefyd wedi estyn allan i gwmnïau diogelwch dadansoddol a blockchain blaenllaw, fel TRM Labs, Chainalysis a chymuned ddiogelwch ETH ehangach, mewn ymgais i'w helpu gyda'r ymchwiliad ac adennill yr arian.
Dywedodd Euler eu bod hefyd yn ceisio cysylltu â'r rhai a oedd yn gyfrifol am yr ymosodiad er mwyn dysgu mwy am y mater ac o bosibl negodi bounty i adennill yr arian a ddygwyd.
Ffynhonnell: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds