3 月13 日,針對頂級去中心化金融(DeFi) 借貸協議之一Euler Finance 的閃電貸攻擊導致了2023 年最大的加密貨幣漏洞。這次攻擊使貸款協議損失了約1.95 億美元,並且還造成了超過11 種其他DeFi 協議。該事件引起了人們對DeFi 平台安全性和外部審計有效性的擔憂。
利用智能合約代碼中的缺陷來操縱系統的閃電貸攻擊在DeFi 領域越來越頻繁。閃電貸的用戶可以在不提供任何質押品的情況下借錢,但他們必須在一次交易中償還。攻擊者藉出一筆可觀的貸款,並用這筆錢來操縱資產價值,產生虛假的流動性,或利用智能合約中的弱點。一旦交易完成,襲擊者就會償還債務並拿走錢。
針對歐拉金融的攻擊,使用了來自另一個DeFi 平台的閃電貸。攻擊者利用了在外部審計期間未報告的Euler 協議中的一個缺陷。 “donateToReserves”中缺少健康檢查導致了該漏洞,該漏洞與EIP-14 中包含的新功能相關,並允許攻擊者從協議中竊取資金。
我們今天為Euler 協議用戶收回資金的工作更新。
以下是我們立即採取的一些行動:
1.通過幫助禁用EToken模塊,盡快阻止直接攻擊,該模塊阻止了存款和易受攻擊的捐贈功能
2. 從事TRM …… https://t.co/6ZClE9uGoH
– 歐拉實驗室(@eulerfinance) 2023 年3 月14 日
為應對此次攻擊,歐拉金融迅速封鎖了存款,並禁用了捐贈功能和弱etoken 模塊。該公司還聯繫了多家安全組織對其協議進行評估,並在外部審計期間對暴露的代碼進行了檢查和授權。然而,儘管有100 萬美元的漏洞賞金,但該漏洞在鏈上保留了八個月,直到被利用。
過去曾與Euler Finance 合作的審計小組Sherlock 驗證了漏洞利用的根本原因,並幫助Euler 提交了索賠。審計協議後來對450 萬美元的索賠進行了投票,該索賠獲得通過,隨後於3 月14 日執行了330 萬美元的支付。該事件引發了人們對外部審計的有效性以及DeFi 平台是否需要採取更強有力的安全措施的質疑。
同樣,Sherlock 支持每一位審查Euler 的審計師。
Sherlock 最初與@cmichelio 合作,於2021 年12 月審核了Euler 的第一個版本,然後與@shw9453 合作在2022 年1 月審核了一個非常小的更新,最後與@WatchPug_ 合作在2022 年7 月審核了EIP-14。
-夏洛克(@sherlockdefi) 2023 年3 月13 日
Euler Finance 攻擊也表明了DeFi 平台和安全公司之間加強合作的必要性。為了協助調查和追回現金,Euler Finance 已經聯繫了TRM Labs、Chainalysis 和更大的ETH 安全社區等頂級鏈上分析和區塊鏈安全公司。該平台還試圖與攻擊者取得聯繫,以了解有關該問題的更多信息,並可能製定賞金以取回被盜的錢。
資訊來源:由0x資訊編譯自TODAYQ。版權歸作者Om Labde所有,未經許可,不得轉載