3 月 13 日, DeFi借贷协议 Euler Finance遭遇大规模闪贷攻击,成为 2023 年迄今为止最大的加密货币黑客攻击事件。 该dent造成约 1.97 亿美元的损失,并影响了超过 11 个其他DeFi协议。 作为回应,欧拉于 3 月 14 日宣布,他们已禁用易受攻击的 etoken 模块和捐赠功能,以防止进一步存款。
此外,Euler Finance团队向用户表示,在各个安全小组进行的初步审计中并未发现该漏洞。 该团队已保证将继续与安全小组合作,以确保协议未来的安全。
尽管有 100 万美元的漏洞赏金,但该漏洞仍然在链上存在了八个月。 不幸的是,它最终被不明人士利用。
此前曾与 Euler Finance 合作的审计小组 Sherlock 进行了彻底调查,并dent了该漏洞的根本原因。 在向审计协议提交索赔并获得批准后,他们于 3 月 14 日支付了 330 万美元。在分析报告中,Sherlock 强调了导致该漏洞的一个主要因素:“donateToReserves”中缺乏健康检查, EIP-14 添加了新功能。 他们指出,如果没有 EIP-14,攻击在技术上仍然是可能的。
2022年7月,WatchPug对Sherlock进行了欧拉审计; 然而,审计漏掉了一个关键漏洞,最终导致 2023 年 3 月被利用。
Euler 已采取措施调查并追回被盗资金,并联系了 TRM Labs、Chainaanalysis 和 ETH 安全社区等领先的链上分析和区块链安全公司。 此外,他们正在尝试联系负责此次攻击的人员,以了解有关该问题的更多信息,并讨论可能协商赏金以追回被盗资金的问题。
