Protocole de prêt de la finance décentralisée (DeFi) Euler Finance a été victime d’une attaque de prêt flash le 13 mars, entraînant le plus grand piratage de crypto en 2023 à ce jour. Le protocole de prêt a perdu près de 197 millions de dollars dans l’attaque et a également eu un impact sur plus de 11 autres protocoles DeFi.
Le 14 mars, Euler a fait le point sur la situation et a informé ses utilisateurs qu’ils avaient désactivé le module Etoken vulnérable pour bloquer les dépôts et la fonction de don vulnérable.
La société a déclaré qu’elle travaillait avec divers groupes de sécurité pour effectuer des audits de son protocole, et le code vulnérable a été examiné et approuvé lors d’un audit externe. La vulnérabilité n’a pas été découverte dans le cadre de l’audit.
Un de nos partenaires d’audit, @Omniscia_sec, a préparé un post-mortem technique et a analysé l’attaque en détail. Vous pouvez lire leur rapport ici :https://t.co/u4Z2xdutwe
En bref, l’attaquant a exploité un code vulnérable qui lui a permis de créer une dette symbolique non garantie… https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) 14 mars 2023
La vulnérabilité est restée en chaîne pendant huit mois jusqu’à ce qu’elle soit exploitée, malgré la mise en place d’une prime de bogue d’un million de dollars pendant cette période.
Sherlock, un groupe d’audit qui a travaillé avec Euler Finance dans le passé, a vérifié la cause profonde de l’exploit et a aidé Euler à soumettre une réclamation. Le protocole d’audit a ensuite tenu un vote sur la réclamation de 4,5 millions de dollars, qui a été adoptée et a ensuite exécuté un paiement de 3,3 millions de dollars le 14 mars.
Le groupe d’audit, dans son rapport d’analyse, a noté qu’un facteur majeur de l’exploit était une vérification de l’état manquante dans donateToReserves(), une nouvelle fonction ajoutée dans EIP-14. Cependant, le protocole a souligné que l’attaque était encore techniquement possible avant même l’existence d’EIP-14.
En relation: Plus de 280 blockchains à risque d’exploits «zero-day», prévient une société de sécurité
Sherlock a noté que l’audit d’Euler par WatchPug en juillet 2022 a manqué la vulnérabilité critique qui a finalement conduit à l’exploit en mars 2023.
De même, Sherlock soutient chaque auditeur qui a examiné Euler.
Sherlock a d’abord travaillé avec @cmichelio pour auditer la première version d’Euler en décembre 2021, puis avec @ shw9453 pour auditer une toute petite mise à jour en janvier 2022, et enfin avec @WatchPug_ audit EIP-14 en juillet 2022.
— SHERLOCK (@sherlockdefi) 13 mars 2023
Euler a également contacté les principales sociétés d’analyse en chaîne et de sécurité blockchain, telles que TRM Labs, Chainalysis et la communauté de sécurité ETH au sens large, dans le but de les aider dans l’enquête et de récupérer les fonds.
Euler a informé qu’ils essayaient également de contacter les responsables de l’attaque afin d’en savoir plus sur le problème et éventuellement de négocier une prime pour récupérer les fonds volés.