2023 yılının rekor DeFi saldırısında, 25'inci günün sonunda Euler Finance çözüme ulaştı.
Bir flash loan saldırısına kurban giden DeFi kredi protokolü Euler Finance, neredeyse bir ay önce 196 milyon dolarlık bir kayıp yaşadı. Ancak siber saldırıdan haftalar sonra Euler, bilgisayar korsanını fonların büyük bir kısmını iade etmeye ikna etti.
Ne var ki Euler Finance'in varlıklarının büyük bir çoğunluğuna kavuşması kolay olmadı. DeFi kredi protokolü ve hacker, 25 gün boyunca sayısız görüşmeler gerçekleştirdi. Sonunda ise Euler, hacker'ı doğru olanı yapmaya ikna etti.
2023'ün rekor hsaldırısı; Euler Finance
13 Mart tarihinde Euler Finance'in bilgisayar korsanı, her biri DAI (DAI), USD Coin (USDC), staked Ethereum (StETH) ve wrapped Bitcoin (WBTC) olmak üzere çeşitli token'larda milyonlarca doları boşaltan birden fazla işlem gerçekleştirdi.
Sonuç olarak, Euler'ın akıllı sözleşmelerinde kilitli olan toplam değeri 311 milyon dolardan 10,37 milyon dolara düştü. Nihayetinde, Balancer, Yearn Finance ve Yield Protocol dahil olmak üzere 11 farklı merkeziyetsiz finans (DeFi) protokolü ya donduruldu ya da fon kaybetti.
At 10:00 UTC Balancer contributors became aware of an exploit on Euler. It was determined the best course of action was to pause and put into recovery mode bbeUSD (Euler Boosted USD) and all pools containing bbeUSD. This was executed by the emergency subDAO at 11:00 UTC.
— Balancer (@Balancer) March 13, 2023
Ertesi gün, 14 Mart'ta, Euler fonları kurtarmak için önlemler aldı ve ilk iş olarak güvenlik açığı bulunan etoken modülünü ve bağış işlevini devre dışı bıraktı. Buna ek olarak, istismarın temel nedenini incelemek için denetim şirketleriyle bir araya geldi.
One of our auditing partners, @Omniscia_sec, prepared a technical post-mortem and analysed the attack in great detail. You can read their report here:https://t.co/u4Z2xdutwe
— Euler Labs (@eulerfinance) March 14, 2023
In short, the attacker exploited vulnerable code which allowed it to create an unbacked token debt…
Euler Finance, yalnızca araştırma ve inceleme yapmakla kalmadı, aynı zamanda bir ödül için pazarlık yapmak üzere hacker ile birlikte iletişime geçmeye çalıştı.
15 Mart tarihinde hacker, Euler tarafından çalınan fonların yüzde 90'ını iade etmesi için bir ültimatom aldı. DeFi kredi platformu, ayrıca saldırganı tutuklanmasında rol oynayacak bilgiler için de 1 milyon dolarlık bir ödül programı başlatmala tehdit etti.
Euler'ın tehditleri, hacker'ın bir kulağından girdi diğerinden çıktı
Euler Finance'in caydırıcı tehditleri, hacker'ın adeta bir kulağından girdi, diğer kulağından çıktı. Bilgisayar korsanı, Euler'ın caydırma politikalarının ardından çaldığı fonları istediği gibi hareket ettirmeye başladı. Euler hacker'ı, çaldığı fonları kripto karıştırıcı protokolüne transfer etmek için Tornado Cash'in yolunu tuttu.
Bilgisayar korsanı, Tornado Cash aracılığıyla 1,65 milyon dolar değerinde 1.000 adet ETH transfer etti.
Öte yandan Euler Labs CEO'su Michael Bentley, yaşanan kaosun ortasında platformda meydana gelen siber saldırı hakkında birtakım açıklamalarda bulundu.
Bentley, Euler Finance platformunda iki yıl boyunca yapılan on ayrı denetimlerde sonuçların sürekli "düşük risk" olarak raporlandığını ve hiçbir sorun ile karşılaşmayı beklemediklerinin altını çizdi. Bentley'e göre, Euler'ın başına gelen saldırı kesinlikle çok düşük bir ihtimaldi.
Euler Finance hacker'ı bir süre sonra insafa geldi
Euler Finance'in hacker hakkında 1 milyon dolarlık ödül başlatması bir süre sonra saldırganın gözünü korkutmuş olacak ki, çaldığı varlıkları yavaş yavaş iade etmeye başladı. Siber saldırgan işe ilk olarak yaklaşık 5,4 milyon dolar değerinde 3.000 adet Ethereum (ETH) iade etmekle başladı.
Saldırgan, 25 Mart'ta gerçekleştirdiği bir işlemde 51.000 Ethereum'u iade etti. Aynı gün içerisinde, değeri 13 milyon doları aşan ikinci bir 7.737'lik bir Ethereum transferi daha gerçekleştirildi.
İlginizi çekebilir: Allbridge'den 573 bin dolar çalan hacker'a ödül teklifi!
28 mart tarihinde ise hacker, Euler Finance hesabına 26,5 milyon dolar değerinde Ethereum iadesi gerçekleştirdi. Buna ek olarak saldırgan, bir başka hesaba 10,7 milyon dolar değerinde DAI gönderdi.
Euler Finance, sonunda müjdeyi verdi
Saldırıdan neredeyse bir ay sonra, 4 Nisan'da Euler Finance, kayıp fonların tamamen geri alındığını ve böylece 1 milyon dolarlık ödülün sona erdiğini duyurdu. Bunun üzerine DeFi kredi protokolü, "Çünkü istismarcı doğru olanı yaptı ve fonları iade etti ve Euler Vakfı tarafından başlatılan 1 milyon dolarlık ödül kampanyası artık yeni bilgi kabul etmeyecek" açıklamalarına yer verdi.
Because the exploiter did the right thing and returned the funds, and the $1 million reward campaign launched by the Euler Foundation will no longer be accepting new information.
— Euler Labs (@eulerfinance) April 3, 2023
Full details to follow tomorrow.
Son işlemlerde ise, bilgisayar korsanı birden fazla işlemde 12 milyon DAI ve 10.580 ETH gönderdi. Kripto topluluğunun, Euler Finance'in fonları kurtarma ve yatırımcıların güvenini yeniden tesis etme çabasını ise ayakta alkışladığı söylenebilir.