- Derbyniodd ecsbloetiwr Ronin Bridge 100 Ethereum (ETH) gwerth $170,468 gan ecsbloetiwr Euler Financial.
- Defnyddiwyd Tornado Cash, mecanwaith cymysgu adnabyddus, gan yr ymosodwr yn Euler Finance i guddio ei weithgareddau.
Cyn i rywun ymosod arno am $196 miliwn, cafodd Euler Finance, system fenthyca yn seiliedig ar Ethereum, ei raddio fel “dim mwy na risg isel” mewn deg archwiliad annibynnol a gynhaliwyd dros ddwy flynedd.
Yn dilyn ymosodiad benthyciad fflach o $196 miliwn Euler ar 13 Mawrth, ysgrifennodd Prif Swyddog Gweithredol Euler Labs Michael Bentley mewn cyfres o drydariadau ar 17 Mawrth am “ddyddiau anoddaf” ei fywyd.
Ail-drydarodd defnyddiwr a oedd wedi rhannu gwybodaeth am Euler yn derbyn 10 archwiliad gan chwe chwmni gwahanol, gan ddweud bod y platfform “bob amser wedi bod yn fenter diogelwch” ac ychwanegu ei fod wedi ail-drydar yr unigolyn.
Archwiliwyd contract smart Euler Financial gan gwmnïau diogelwch blockchain Halborn, Solidified, ZK Labs, Certora, Sherlock, ac Omnisica rhwng Mai 2021 a Medi 2022.
Hefyd, ar 17 Mawrth, derbyniodd ecsbloetiwr Ronin Bridge 100 Ethereum (ETH) gan ecsbloetiwr Euler Financial, gwerth $170,468. Lookonchain, holwyd a oedd y trosglwyddiad yn anfwriadol neu a oedd yn dangos mai'r un person oedd y ddau haciwr.
Yr effaith y mae'n ei dal
Drwy gyfrifo’r “tebygolrwydd o ddigwyddiad diogelwch” a’r effaith bosibl, gwerthusodd Halborn ei asesiad risg, gyda’r lefel risg yn amrywio o isel iawn a gwybodaeth i gritigol. Ni roddwyd “dim byd uwch na risg isel” i Euler.
Nododd crynodeb o archwiliad Halborn o fis Rhagfyr 2022 ei fod wedi cynhyrchu “canlyniad boddhaol cyffredinol.”
Yn ôl yr adroddiad, fe wnaeth Halborn “arolygu ac astudio” 23 o gontractau smart dros fis, ond dim ond “dau risg isel a thri risg gwybodaeth” a ddarganfuwyd.
Ar ôl adolygu yswiriant Halborn, honnodd Euler ei fod wedi dod i’r casgliad nad yw’r risgiau “yn cynrychioli unrhyw fygythiadau difrifol.”
Mae sïon wedi bod bod y grŵp hacio drwg-enwog o Ogledd Corea Lazarus, a oedd yn gysylltiedig ag ymosodiad Ronin Bridge, hefyd yn gyfrifol am ecsbloetio Euler Financial.
Serch hynny, nid yw'r trafodiad yn cynnig prawf pendant o berthynas y partïon. Ceisiodd yr ymosodwr yn Euler Finance guddio ei drafodion gan ddefnyddio Tornado Cash, mecanwaith cymysgu cydnabyddedig. Hefyd, anfonodd yr ymosodwr un o ddioddefwyr y camfanteisio 100 ETH.
Beth sydd nesaf?
Dim ond 24 awr cyn y bounty, roedd Euler wedi rhybuddio pe na bai 90% o’r arian yn cael ei ddychwelyd yn yr amser hwnnw, y byddai’n lansio un “sy’n arwain at eich arestio ac adfer yr holl arian”.
Ar wahân i hyn, gosododd y cwmni diogelwch blockchain Omnisica “gysyniadau anghywir” amrywiol a’r ffordd y cafodd y modd cyfnewid ei “reoli gan y codebase” ym mhrif gyfnewidiwr Euler.
Honnodd yr astudiaeth fod Euler wedi “delio’n llawn” â’r problemau hyn ac nad oedd “unrhyw anawsterau heb eu datrys” ar hyn o bryd.
Ffynhonnell: https://ambcrypto.com/euler-finance-hack-everything-latest-that-you-need-to-know/