Yıllar geçmiyor ki bir yeni yılda, diğer yıla göre merkeziyetsiz Finans (DeFi) alanında rekor oranda siber saldırı gerçekleşmesin.
Geçtiğimiz gün DeFi kredi protokolü Euler Finance meydana gelen bir siber saldırının kurbanı oldu. Gerçekleşen siber saldırıda ise 2023 yılının başından bu yana en büyük kripto saldırısı meydana geldi. Kripto kredi protokolü, saldırıda yaklaşık 197 milyon dolar kaybetti. Bu kayıp, ayrıca 11'den fazla diğer DeFi protokolünü de ekiledi.
Euler Finance'te son durum ne?
Bugün itibarıyla Euler, söz konusu saldırı ile ilgili bir güncelleme yayınladı. Euler Finance, kullanıcılarına para yatırma işlemlerini ve savunmasız bağış özelliğini engellemek için etken modülünü devre dışı bıraktıklarını bildirdi.
Şirket, ayrıca protokolünün denetimlerini gerçekleştirmek için çeşitli güvenlik ekipleriyle birlikte çalıştıklarını belirtti. Euler, söz konusu güvenlik açığının ise denetimin bir parçası olarak keşfedilmesinin de altını çizdi.
One of our auditing partners, @Omniscia_sec, prepared a technical post-mortem and analysed the attack in great detail. You can read their report here:https://t.co/u4Z2xdutwe
— Euler Labs (@eulerfinance) March 14, 2023
In short, the attacker exploited vulnerable code which allowed it to create an unbacked token debt… https://t.co/FGnPqvYUGB
Ne var ki güvenlik açığının, 1 milyon dolarlık hata ödül programına rağmen, saldırıya uğrayana kadar sekiz ay boyunca zincir üzerinde kaldığı ortaya çıktı.
Daha önceleri Euler Finance ile çalışmış olan bir denetim grubu olan Sherlock, hack saldırısının temel nedenini doğruladı ve Euler'in bir hak talebinde bulunmasına yardımcı oldu. Denetim protokolü daha sonra 4,5 milyon dolarlık talebi oylayarak kabul etti ve ardından 14 Mart'ta, 3,3 milyon dolarlık bir ödeme gerçekleştirdi.
Denetim grubu analiz raporunda, EIP-14'te eklenen yeni bir işlev olan "donateToReserves" içindeki eksik bir sistem sağlık kontrolünün saldırı için önemli bir unsur olduğunu belirtti. Ancak protokol, saldırının EIP-14'ten önce de teknik olarak gerçekleşmiş olabileceğini de vurguladı.
Öte yandan Sherlock, Temmuz 2022'de WatchPug tarafından yapılan Euler denetiminin, Mart 2023'te istismara yol açan kritik güvenlik açığını gözden kaçırdığını söyledi.
Similarly, Sherlock stands behind every auditor who reviewed Euler.
— SHERLOCK (@sherlockdefi) March 13, 2023
Sherlock initially worked with @cmichelio to audit the first version of Euler in Dec 2021, then with @shw9453 to audit a very small update in Jan 2022, and finally with @WatchPug_ to audit EIP-14 in July 2022.
Euler ayrıca, soruşturmada kendilerine yardımcı olmak ve fonları geri almak amacıyla TRM Labs, Chainalysis ve daha geniş ETH güvenlik topluluğu gibi önde gelen zincir üstü analiz ve blokzincir güvenlik firmalarına da ulaştı.
Euler, hack saldırısı hakkında daha fazla bilgi edinmek ve muhtemelen çalınan fonları geri almak için bir ödül pazarlığı yapmak amacıyla saldırıdan sorumlu olanlarla da iletişime geçmeye çalıştıkları hakkında açıklamalarda bulundu.