El protocolo de préstamo de finanzas descentralizadas (DeFi) Euler Finance se convirtió en víctima de un ataque de préstamo relámpago el 13 de marzo, lo que resultó en el mayor pirateo de criptografía en 2023 hasta el momento. El protocolo de préstamo perdió casi 197 millones de dólares en el ataque y también afectó a más de otros 11 protocolos DeFi.
El 14 de marzo, Euler publicó una actualización sobre la situación y notificó a sus usuarios que habían deshabilitado el módulo etoken vulnerable para bloquear depósitos y la función de donación vulnerable.
La firma dijo que trabajan con varios grupos de seguridad para realizar auditorías de su protocolo, y el código vulnerable fue revisado y aprobado durante una auditoría externa. La vulnerabilidad no se descubrió como parte de la auditoría.
Uno de nuestros socios auditores, @Omniscia_sec, preparó una autopsia técnica y analizó el ataque con gran detalle. Puedes leer su informe aquí:https://t.co/u4Z2xdutwe
En resumen, el atacante explotó un código vulnerable que le permitió crear una deuda simbólica sin respaldo… https://t.co/FGnPqvYUGB
— Laboratorios Euler (@eulerfinance) 14 de marzo de 2023
La vulnerabilidad permaneció en la cadena durante ocho meses hasta que fue explotada, a pesar de una recompensa por errores de $ 1 millón en su lugar.
Sherlock, un grupo de auditoría que ha trabajado con Euler Finance en el pasado, verificó la causa raíz del exploit y ayudó a Euler a presentar un reclamo. El protocolo de auditoría luego votó sobre el reclamo de $4.5 millones, que fue aprobado, y luego ejecutó un pago de $3.3 millones el 14 de marzo.
En su informe de análisis, el grupo de auditoría notó un factor importante para el exploit: una verificación de estado faltante en “donateToReserves”, una nueva función agregada en EIP-14. Sin embargo, el protocolo enfatizó que el ataque todavía era técnicamente posible incluso antes de EIP-14.
Relacionado: Más de 280 blockchains en riesgo de exploits de ‘día cero’, advierte empresa de seguridad
Sherlock señaló que la auditoría de Euler realizada por WatchPug en julio de 2022 no detectó la vulnerabilidad crítica que finalmente condujo al exploit en marzo de 2023.
De manera similar, Sherlock respalda a todos los auditores que revisaron a Euler.
Sherlock trabajó inicialmente con @cmichelio para auditar la primera versión de Euler en diciembre de 2021, luego con @shw9453 para auditar una actualización muy pequeña en enero de 2022, y finalmente con @RelojPug_ para auditar EIP-14 en julio de 2022.
— SHERLOCK (@sherlockdefi) 13 de marzo de 2023
Euler también se ha acercado a las principales empresas de análisis en cadena y seguridad de blockchain, como TRM Labs, Chainalysis y la comunidad de seguridad ETH en general, en un intento por ayudarlos con la investigación y recuperar los fondos.
Euler notificó que también están tratando de contactar a los responsables del ataque para obtener más información sobre el tema y posiblemente negociar una recompensa para recuperar los fondos robados.