Den 13 mars DeFi utlåningsprotokollet Euler Finance av en massiv flashlånsattack, vilket gjorde det till det största kryptohacket 2023 hittills. Incidenten resulterade i en förlust på cirka 197 miljoner dollar och påverkade över 11 andra DeFi dent . Som svar meddelade Euler den 14 mars att de hade inaktiverat sin sårbara etoken-modul och donationsfunktion för att förhindra ytterligare insättningar.
Dessutom uppgav Euler Finance-teamet för sina användare att sårbarheten inte upptäcktes i den första granskningen som utfördes av olika säkerhetsgrupper. Teamet har försäkrat att det kommer att fortsätta att arbeta med säkerhetsgrupper för att säkerställa protokollets säkerhet framöver.
I åtta månader fanns sårbarheten i kedjan trots en buggpremie på 1 miljon dollar. Tyvärr utnyttjades den så småningom av en okänd part.
Sherlock, en revisionsgrupp som tidigare arbetat med Euler Finance, genomförde en grundlig undersökning och upptäckte dent till exploateringen. Efter att ha lämnat in kravet till revisionsprotokollet och fått godkännande, verkställde de en utbetalning på 3,3 miljoner dollar den 14 mars. I sin analysrapport lyfte Sherlock fram en viktig faktor som bidrog till utnyttjandet: avsaknaden av en hälsokontroll i "donateToReserves", en ny funktion tillagd med EIP-14. De noterade att attacken fortfarande kunde ha varit tekniskt möjlig utan EIP-14.
I juli 2022 genomförde WatchPug en Euler-revision för Sherlock; Men granskningen missade en kritisk sårbarhet, vilket så småningom resulterade i ett utnyttjande i mars 2023.
Euler har vidtagit åtgärder för att undersöka och återvinna de pengar som har stulits och nått ut till ledande on-chain analytiska och blockchain -säkerhetsföretag som TRM Labs, Chainalysis och ETH-säkerhetsgemenskapen. Dessutom försöker de kontakta de ansvariga för attacken för att lära sig mer om problemet och diskutera eventuella förhandlingar om en belöning för att få tillbaka de stulna medlen.
