탈중앙화 금융(DeFi) 대출 프로토콜 Euler Finance는 13월 2023일 플래시 론 공격의 피해자가 되어 지금까지 197년 현재까지 가장 큰 규모의 암호화폐 해킹이 발생했습니다. 대출 프로토콜은 공격으로 거의 11억 XNUMX만 달러의 손실을 입었고 XNUMX개 이상의 다른 DeFi 프로토콜에도 영향을 미쳤습니다.
14월 XNUMX일, 오일러는 상황에 대한 업데이트를 발표하고 사용자들에게 예금과 취약한 기부 기능을 차단하기 위해 취약한 Etoken 모듈을 비활성화했다고 알렸습니다.
이 회사는 프로토콜 감사를 수행하기 위해 다양한 보안 그룹과 협력하고 있으며 외부 감사 중에 취약한 코드를 검토하고 승인했다고 말했습니다. 취약점은 감사의 일부로 발견되지 않았습니다.
감사 파트너 중 하나인 @Omniscia_sec, 기술적 사후 분석을 준비하고 공격을 매우 자세하게 분석했습니다. 여기에서 그들의 보고서를 읽을 수 있습니다: https://t.co/u4Z2xdutwe
요컨대 공격자는 취약한 코드를 악용하여 지원되지 않는 토큰 부채를 만들 수 있었습니다… https://t.co/FGnPqvYUGB
— 오일러 연구소(@eulerfinance) 2023 년 3 월 14 일
해당 기간 동안 1만 달러의 버그 포상금이 있었음에도 불구하고 이 취약점은 악용될 때까지 XNUMX개월 동안 온체인에 남아 있었습니다.
과거에 Euler Finance와 협력했던 감사 그룹인 Sherlock은 익스플로잇의 근본 원인을 확인하고 Euler가 클레임을 제출하도록 도왔습니다. 감사 프로토콜은 나중에 4.5만 달러에 대한 청구에 대한 투표를 실시했으며, 이는 통과되었고 나중에 3.3월 14일에 XNUMX만 달러의 지불금을 실행했습니다.
감사 그룹은 분석 보고서에서 EIP-14에 추가된 새로운 기능인 donateToReserves()의 상태 확인 누락이 익스플로잇의 주요 요인이라고 지적했습니다. 그러나 프로토콜은 EIP-14가 존재하기 전에도 공격이 기술적으로 여전히 가능하다고 강조했습니다.
관련: '제로데이' 익스플로잇 위험에 처한 280개 이상의 블록체인, 보안 회사 경고
Sherlock은 2022년 2023월 WatchPug의 Euler 감사에서 결국 XNUMX년 XNUMX월 익스플로잇으로 이어진 치명적인 취약점을 놓쳤다고 언급했습니다.
마찬가지로 Sherlock은 Euler를 검토한 모든 감사자 뒤에 있습니다.
셜록은 처음에 @cmichelio 2021년 XNUMX월에 오일러의 첫 번째 버전을 감사한 다음 @shw9453 2022년 XNUMX월에 아주 작은 업데이트를 감사하고 마지막으로 @WatchPug_ 14년 2022월에 EIP-XNUMX를 감사합니다.
— 셜록(@sherlockdefi) 2023 년 3 월 13 일
Euler는 또한 TRM Labs, Chainalysis 및 광범위한 ETH 보안 커뮤니티와 같은 선도적인 온체인 분석 및 블록체인 보안 회사에 연락하여 조사를 돕고 자금을 회수했습니다.
Euler는 또한 문제에 대해 자세히 알아보고 도난당한 자금을 회수하기 위한 포상금을 협상하기 위해 공격 책임자에게 연락을 시도하고 있다고 알렸습니다.
출처: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds