Code-Bug-aktivierter Flash-Darlehensangriff
Euler, ein Kreditprotokoll, das gestern über 400 Mio $ 200M im vielleicht größten DeFi-Exploit des Jahres 2023.
Das gelang dem Angreifer stehlen fast 136 Mio. USD an stETH von Lido Finance, 34 Mio. USD an USDC, 18.5 Mio. USD an WBTC und 8.8 Mio. USD an DAI.
Das EUL-Governance-Token des Protokolls verlor im Zuge des Angriffs mehr als die Hälfte seines Wertes.
Das Euler-Team hat bestätigt dass es mit TRM Labs, Chainalysis und der breiteren Ethereum-Sicherheitsgemeinschaft zusammenarbeitet, um die gestohlenen Gelder aufzuspüren und zu versuchen, sie wiederzuerlangen. Die britischen und US-amerikanischen Strafverfolgungsbehörden wurden ebenfalls benachrichtigt.
Eulers Total Value Locked (TVL) liegt derzeit bei knapp über 10 Millionen US-Dollar.
Anfällige Funktion
Der Exploit stammte von einer Schwachstelle in einer intelligenten Vertragsfunktion namens 'donateToReserve' Das wurde vor acht Monaten im Rahmen einer umfassenden Überarbeitung hinzugefügt und ermöglicht es Benutzern, kleine Guthaben für die Reserve des Protokolls zu spenden.
Euler verwendet zwei Arten von Token, um Benutzerguthaben zu verfolgen. eTokens stellen Sicherheiten dar, während dTokens die Schulden der Benutzer darstellen.
Gehebelte Positionen werden liquidiert, wenn das dToken-Guthaben eines Benutzers sein eToken-Guthaben übersteigt, und die Liquidatoren werden durch einen vom Protokoll angebotenen Rabatt dazu angeregt, um einen reibungslosen Betrieb zu gewährleisten.
Gemäß a Obduktion von Omniscia, einem der Wirtschaftsprüfer von Euler, besteht das Kernproblem darin, dass die Spendenfunktion keinen „Gesundheitscheck“ beinhaltet, um sicherzustellen, dass der Benutzer nach der Spende angemessen besichert bleibt.
Infolgedessen war der Angreifer in der Lage, eine Unterwasserposition aufzubauen und sich mithilfe eines anderen zu diesem Zweck erstellten böswilligen Vertrags zu liquidieren.
Sicherheitsfirma Peckshield illustriert der Angriff unter Verwendung von Eulers DAI-Markt, der zum Beispiel für 8.8 Millionen Dollar ausgenutzt wurde.
Der Umwandlungssatz bezieht sich auf den Liquidationsrabatt, der hier aufgrund der äußerst geringen Besicherung des Kontos nach Spende auf maximal 25 % festgelegt wurde.
Der Angreifer wiederholte denselben Vorgang, um die stETH-, WBTC- und USDC-Märkte zu entleeren, und erzielte dabei insgesamt 197 Millionen Dollar.
On-Chain-Analyst ZachXBT bekannt dass dieselbe Adresse zuvor ein DeFI-Protokoll auf BNB Smart Chain für 346,000 US-Dollar angegriffen und den Datenschutzmischer Tornado Cash verwendet hatte, um diese Gelder zu waschen.
Flash-Kredite
Ein Flash-Darlehen ist eine DeFi-Funktion, die es Benutzern ermöglicht, große Geldbeträge zu leihen, ohne Sicherheiten zu hinterlegen. Das Darlehen muss jedoch innerhalb desselben Ethereum-Blocks zurückgezahlt werden.
Flash-Loan-Angriffe sind in DeFi leider allzu häufig. Im Oktober 2021 erlitt ein weiterer Geldmarkt, Cream Finance, eine $ 130M Flash-Darlehen ausnutzen.
Böswillige Schauspieler ausgelaugt 3.2 Milliarden Dollar von DeFi-Plattformen im vergangenen Jahr durch eine Vielzahl von Angriffen.
DeFi-Fallout
Euler ist aufgrund einer Kombination aus Ansehen und dem Angebot von Liquiditätsanreizen weitgehend in das breitere DeFi-Ökosystem integriert, und der Exploit hat sich ausgewirkt viele Protokolle die entweder Gelder bei Euler hinterlegten oder indirekt engagiert waren.
Dezentraler Austausch-Balancer sagte dass sein Notfall-SubDAO alle Liquiditätspools mit Euler-Boosted USD (bbeUSD) pausiert und bbeUSD in den Erholungsmodus versetzt hat.
Das Balancer-Team sagt, es bestehe kein weiteres Verlustrisiko. Es fügte hinzu, dass bbeUSD LPs in der Lage sein werden, ihre Positionen zu verlassen, sobald weitere Klarheit vom Euler-Team vorliegt.
Angle Protocol, der Emittent der Stablecoin agEUR mit Eurobindung, sagte dass es USDC im Wert von 17.6 Millionen Dollar ausgesetzt war und a veröffentlicht hat Obduktion.
Der fragliche Smart Contract wurde von Sherlock geprüft, was dies getan hat genehmigt eine Auszahlung von 4.5 Millionen Dollar aus seinem Versicherungsfonds.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://thedefiant.io/euler-200m-exploit/
- :Ist
- 000
- 2021
- 2023
- 214
- a
- Fähig
- Konto
- Akteure
- hinzugefügt
- Adresse
- angemessen
- Alle
- erlaubt
- Beträge
- Analytiker
- und
- Ein anderer
- SIND
- AS
- Details
- At
- Attacke
- Anschläge
- geprüft
- Abschlussprüfer
- Balance
- Balancer
- Guthaben
- BE
- Sein
- Größte
- Blockieren
- bnb
- BNB Smart-Kette
- leihen
- breiteres
- Fehler
- by
- namens
- Häuser
- Bargeld
- Kette
- Kettenanalyse
- Clarity
- Sicherheit
- besichert
- Kombination
- gemeinsam
- community
- Vertrag
- Umwandlung (Conversion)
- Kernbereich
- Creme
- Creme Finanzen
- erstellen
- erstellt
- Zur Zeit
- DAI
- DeFi
- DeFi-Ökosystem
- defi ausnutzen
- defi Plattformen
- DEFI-PROTOKOLL
- hinterlegt
- Rabatt
- spenden
- abgelassen
- Ökosystem
- entweder
- Notfall
- freigegeben
- Durchsetzung
- gewährleisten
- Astraleum
- Ethereum-Sicherheit
- E.U.L
- Beispiel
- übersteigt
- Austausch-
- Beenden
- Ausnutzen
- Exploited
- ausgesetzt
- Belichtung
- äußerst
- Merkmal
- Finanzen
- Fest
- Blinken (Flash)
- Flash-Darlehen
- Flash-Kredit Exploit
- Aussichten für
- für
- Funktion
- Fonds
- Mittel
- weiter
- Governance
- Hälfte
- Statt
- aber
- HTTPS
- in
- Incentives
- incentiviert
- das
- Versicherung
- integriert
- Problem
- Aussteller
- IT
- SEINE
- Labs
- grosse
- Nachname
- Letztes Jahr
- Recht
- Strafverfolgung
- Verleiher
- Darlehen
- Ausleihprotokoll
- LIDO
- liquidieren
- LIQUIDIERT
- Liquidation
- Liquidity
- Liquiditätspools
- Darlehen
- verschlossen
- Verlust
- Sneaker
- LPs
- Dur
- verwaltet
- Markt
- Märkte
- maximal
- Mischung
- Model
- Geld
- Geldmarkt
- Monat
- fast
- Notion
- erhalten
- Oktober
- of
- angeboten
- bieten
- on
- EINEM
- Betrieb
- Überholung
- Teil
- Peckschild
- Plattformen
- Plato
- Datenintelligenz von Plato
- PlatoData
- Pools
- Position
- für einige Positionen
- vorher
- Preis
- Datenschutz
- Prozessdefinierung
- Protokoll
- Protokolle
- Zweck
- setzen
- Frage
- Bewerten
- Entspannung
- Erholung
- bezieht sich
- freigegeben
- bleibt bestehen
- wiederholt
- vertreten
- RESERVE
- Folge
- Risiko
- gleich
- sagt
- Sicherheitdienst
- kompensieren
- klein
- smart
- Intelligente Kette
- Smart-Vertrag
- So
- Quelle
- Stablecoin
- steht
- STETH
- gestohlen
- gestohlenes Geld
- Leidet
- Team
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- sich
- Durch
- zu
- Zeichen
- Tokens
- auch
- Tornado
- Tornado Cash
- Gesamt
- Gesamtwert gesperrt
- verfolgen sind
- TVL
- Typen
- Uk
- Unterwasser-
- us
- USD
- USDC
- Mitglied
- Nutzer
- Wert
- Vielfalt
- Verwundbarkeit
- Wake
- wBTC
- Was
- welche
- während
- weit
- werden wir
- mit
- .
- ohne
- arbeiten,
- wert
- Jahr
- Zachxbt
- Zephyrnet