विकेन्द्रीकृत वित्त (DeFi) उधार प्रोटोकॉल यूलर फाइनेंस 13 मार्च को एक त्वरित ऋण हमले का शिकार हो गया, जिसके परिणामस्वरूप 2023 में क्रिप्टो का अब तक का सबसे बड़ा हैक हुआ। हमले में ऋण समझौते में लगभग $197 मिलियन का नुकसान हुआ और 11 से अधिक अन्य DeFi प्रोटोकॉल भी प्रभावित हुए।
14 मार्च को, यूलर स्थिति पर एक अद्यतन के साथ बाहर आया और अपने उपयोगकर्ताओं को सूचित किया कि उन्होंने जमा को अवरुद्ध करने और कमजोर दान समारोह के लिए कमजोर ईटोकन मॉड्यूल को अक्षम कर दिया है।
फर्म ने कहा कि वे इसके प्रोटोकॉल का ऑडिट करने के लिए विभिन्न सुरक्षा समूहों के साथ काम करते हैं, और बाहरी ऑडिट के दौरान कमजोर कोड की समीक्षा की गई और अनुमोदित किया गया। ऑडिट के हिस्से के रूप में भेद्यता की खोज नहीं की गई थी।
हमारे लेखापरीक्षा भागीदारों में से एक, @Omniscia_sec, एक तकनीकी पोस्ट-मॉर्टम तैयार किया और हमले का बड़े विस्तार से विश्लेषण किया। आप उनकी रिपोर्ट यहां पढ़ सकते हैं: https://t.co/u4Z2xdutwe
संक्षेप में, हमलावर ने कमजोर कोड का शोषण किया, जिसने इसे एक अप्रतिबंधित टोकन ऋण बनाने की अनुमति दी … https://t.co/FGnPqvYUGB
- यूलर लैब्स (@eulerfinance) मार्च २०,२०२१
भेद्यता आठ महीने तक चेन पर बनी रही, जब तक कि इसका शोषण नहीं किया गया, उस समय के दौरान $ 1 मिलियन बग बाउंटी होने के बावजूद।
पूर्व में यूलर फाइनेंस के साथ काम कर चुके ऑडिट ग्रुप शर्लक ने शोषण के मूल कारण को सत्यापित किया और यूलर को दावा प्रस्तुत करने में मदद की। ऑडिट प्रोटोकॉल ने बाद में $4.5 मिलियन के दावे पर वोट दिया, जिसे पारित किया गया और बाद में 3.3 मार्च को $14 मिलियन का भुगतान किया गया।
लेखापरीक्षा समूह ने अपनी विश्लेषण रिपोर्ट में उल्लेख किया कि ईआईपी-14 में जोड़ा गया एक नया कार्य, DoneToReserves() में स्वास्थ्य जांच न होना शोषण का एक प्रमुख कारक था। हालांकि, प्रोटोकॉल ने जोर दिया कि ईआईपी-14 के अस्तित्व से पहले भी हमला तकनीकी रूप से संभव था।
संबंधित: 280 से अधिक ब्लॉकचेन 'शून्य-दिन' शोषण के जोखिम में हैं, सुरक्षा फर्म को चेतावनी दी है
शर्लक ने नोट किया कि जुलाई 2022 में वॉचपग द्वारा यूलर ऑडिट में उस महत्वपूर्ण भेद्यता को याद किया गया जिसके कारण अंततः मार्च 2023 में शोषण हुआ।
इसी तरह, शर्लक प्रत्येक लेखा परीक्षक के पीछे खड़ा होता है जिसने यूलर की समीक्षा की।
शर्लक ने शुरुआत में साथ काम किया @सीमिशेलियो दिसंबर 2021 में यूलर के पहले संस्करण का ऑडिट करने के लिए, उसके बाद @ shw9453 जनवरी 2022 में एक बहुत छोटे अद्यतन का ऑडिट करने के लिए, और अंत में @WatchPug_ जुलाई 14 में EIP-2022 का ऑडिट करने के लिए।
- शर्लक (@ शेरलॉकडेफी) मार्च २०,२०२१
यूलर प्रमुख ऑन-चेन विश्लेषणात्मक और ब्लॉकचैन सुरक्षा फर्मों, जैसे कि टीआरएम लैब्स, चायनालिसिस और व्यापक ईटीएच सुरक्षा समुदाय तक पहुंच गया है, ताकि उन्हें जांच में मदद मिल सके और धन की वसूली हो सके।
यूलर ने सूचित किया कि वे इस मुद्दे के बारे में अधिक जानने के लिए हमले के लिए जिम्मेदार लोगों से संपर्क करने की कोशिश कर रहे हैं और संभवतः चुराए गए धन की वसूली के लिए इनाम की बातचीत कर रहे हैं।
स्रोत: https://cointelegraph.com/news/euler-finance-blocks-vulnerable-module-working-on-recovering-funds