Schwachstelle blieb an-Chain für 8 Monate

Omniscia, der Wirtschaftsprüfungspartner von Euler Finance, hat einen Post-Mortem-Bericht darüber veröffentlicht, in dem festgestellt wird, dass die Schwachstelle, die von den böswilligen Hackern ausgenutzt wurde, aus dem falschen Spendenmechanismus des dezentralisierten Finanzkreditprotokolls stammte, der die Schuldengesundheit des Spenders nicht berücksichtigte .

Der in eIP-14 eingeführte anfällige Code führte zu mehreren Änderungen im gesamten Euler-Ökosystem. Dies ermöglichte es dem Angreifer, eine übermäßig gehebelte Position zu schaffen und sie selbst im selben Block zu liquidieren, indem er sie künstlich „unter Wasser“ brachte, sagte die Firma in einer Erklärung.

• Die Funktion im Zentrum der Schwachstelle war nicht Gegenstand einer von Omniscia durchgeführten Prüfung.
• Ein externes Audit war für die Überprüfung des anfälligen Codes verantwortlich, der später genehmigt wurde.
• Die Schwachstelle wurde jedoch nicht im Rahmen dieses Audits entdeckt und blieb acht Monate in der Kette, bis sie am 13. März ausgenutzt wurde, trotz einer Bug-Prämie von 1 Million US-Dollar.
• Das fehlerhafte etoken-Modul wurde deaktiviert, um Einzahlungen und die anfällige Spendenfunktion zu verhindern.
• Nach dem Angriff enthüllte das DeFi-Protokoll die Zusammenarbeit mit verschiedenen Sicherheitsgruppen zur Durchführung von Audits und hat auch Strafverfolgungsbehörden angezapft, um die Gelder zurückzufordern.

„Wir sind am Boden zerstört von den Auswirkungen dieses Angriffs auf Benutzer des Euler-Protokolls und werden weiterhin mit unseren Sicherheitspartnern, den Strafverfolgungsbehörden und der breiteren Gemeinschaft zusammenarbeiten, um das Problem so gut wie möglich zu lösen. Vielen Dank für Ihre Unterstützung und Ermutigung.“

.