DeFi-протокол Euler Finance отключил уязвимый модуль EToken, заблокировав депозиты.

An update on our work today to recover funds for Euler protocol users.

Here are a few actions we took immediately:

1. Stopped the direct attack as soon as possible by helping disable the EToken module, which blocked deposits and the vulnerable donation function

2. Engaged TRM… https://t.co/6ZClE9uGoH

— Euler Labs (@eulerfinance) March 14, 2023

Команда проекта уже уведомила о взломе на $196 млн правоохранительные органы США и Великобритании. Кроме того, Euler Finance обратилась к аналитическим компаниям Chainalysis и TRM Labs с просьбой помочь в расследовании инцидента.

Представители проекта также связались со взломщиком и предложили ему награду за возврат украденных средств.

Согласно имеющимся данным, злоумышленник воспользовался эксплойтом в механизме мгновенных займов, внеся необеспеченный залог. Из-за ошибки в смарт-контракте хакеру удалось ликвидировать долг и вывести средства.

One of our auditing partners, @Omniscia_sec, prepared a technical post-mortem and analysed the attack in great detail. You can read their report here:https://t.co/u4Z2xdutwe

In short, the attacker exploited vulnerable code which allowed it to create an unbacked token debt… https://t.co/FGnPqvYUGB

— Euler Labs (@eulerfinance) March 14, 2023

По данным аудиторской группы Sherlock, которая раньше сотрудничала с Euler, уязвимость оставалась незамеченной в течение 8 месяцев. В компании сообщили, что проводившая проверку протокола в июле 2022 года компания WatchPug не обнаружила критической ошибки.

Similarly, Sherlock stands behind every auditor who reviewed Euler.

Sherlock initially worked with @cmichelio to audit the first version of Euler in Dec 2021, then with @shw9453 to audit a very small update in Jan 2022, and finally with @WatchPug_ to audit EIP-14 in July 2022.

— SHERLOCK (@sherlockdefi) March 13, 2023

Sherlock также помогла пострадавшему проекту составить исковое заявление на $4,5 млн, которое было одобрено 14 марта. В результате компания разблокировала $3,3 млн для возмещения убытков.

Напомним, 10 марта Hedera Hashgraph сообщила о выводе неназванной суммы в результате взлома платформы.