Euler Finance bloquea un módulo vulnerable y trabaja en la recuperación de fondos
El protocolo de préstamos de finanzas descentralizados (DeFi), Euler Finance, fue víctima de un ataque de préstamos flash el 13 de marzo, lo que provocó el mayor hackeo de criptomonedas en lo que va de 2023. El protocolo de préstamos perdió casi USD 197 millones en el ataque y afectó también a más de otros 11 protocolos DeFi.
El 14 de marzo, Euler publicó una actualización sobre la situación y notificó a sus usuarios que habían desactivado el módulo vulnerable etoken para bloquear los depósitos y la función vulnerable de donación.
La empresa declaró que trabaja con varios grupos de seguridad para realizar auditorías de su protocolo, y que el código vulnerable fue revisado y aprobado durante una auditoría externa. La vulnerabilidad no se descubrió como parte de la auditoría.
One of our auditing partners, @Omniscia_sec, prepared a technical post-mortem and analysed the attack in great detail. You can read their report here:https://t.co/u4Z2xdutwe
In short, the attacker exploited vulnerable code which allowed it to create an unbacked token debt… https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) March 14, 2023
La vulnerabilidad permaneció on-chain durante ocho meses hasta que fue atacada, a pesar de que existía una recompensa por bugs de un millón de dólares.
Sherlock, un grupo de auditoría que ha trabajado con Euler Finance en el pasado, verificó la causa raíz de la vulnerabilidad y ayudó a Euler a presentar una reclamación. El protocolo de auditoría votó posteriormente la reclamación de USD 4.5 millones, que fue aprobada, y posteriormente ejecutó un pago de USD 3.3 millones el 14 de marzo.
En su informe de análisis, el grupo de auditoría señaló un factor importante para el exploit: la falta de una comprobación de salud en “donateToReserves”, una nueva función añadida en la EIP-14. Sin embargo, el protocolo subrayó que el ataque seguía siendo técnicamente posible incluso antes de la EIP-14.
Sherlock señaló que la auditoría de Euler realizada por WatchPug en julio de 2022 pasó por alto la vulnerabilidad crítica que finalmente condujo al exploit en marzo de 2023.
Similarly, Sherlock stands behind every auditor who reviewed Euler.
Sherlock initially worked with @cmichelio to audit the first version of Euler in Dec 2021, then with @shw9453 to audit a very small update in Jan 2022, and finally with @WatchPug_ to audit EIP-14 in July 2022.
— SHERLOCK (@sherlockdefi) March 13, 2023
Euler también se ha puesto en contacto con empresas líderes en análisis on-chain y seguridad blockchain, como TRM Labs, Chainalysis y la comunidad de seguridad de Ethereum en general, en un intento de ayudarles con la investigación y a recuperar los fondos.
Euler notificó que también están intentando ponerse en contacto con los responsables del ataque para obtener más información sobre el problema y posiblemente negociar una recompensa para recuperar los fondos robados.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.