Euler Finance: недетские игры и новая эра блокчейн-аудита

Главный редактор 29.03.2023 1
Euler-Finance-DeFi-эксплойт
Euler Finance — DeFi-платформа на базе блокчейна Ethereum

Десятого марта CertiK, компания, основанная в 2018 году профессорами Колумбийского и Йельского университетов и ставшая пионером в сфере безопасности блокчейна, опубликовала свой ежемесячный отчёт за февраль 2023 года.

В нём шла речь о выявленных в течение первых 2 месяцев года потерях 79 501 657 долларов США в результате 125 хакерских атак, мошенничества и эксплойтов в индустрии Web3. В частности, в феврале во время 28 крупных эксплойтов было похищено более 50 миллионов долларов, а 22 атаки с использованием флеш-кредитов стоили юзерам 15 923 012 зелёных портретов американских президентов. В заключении CertiK отметила всплеск инцидентов, направленных против инвесторов Web3, в феврале по сравнению с январём, и значительное увеличение совокупных убытков – одновременно зафиксировав, что общие потери пока ниже, чем среднемесячное значение за 2022 год.

Euler Finance: риски криптовалютного кредитования

Через три дня сразу несколько компаний, занимающихся безопасностью в сфере рынка цифровых активов, сообщили о том, что Euler Finance, DeFi-платформа на базе блокчейна Ethereum, предоставляющая услуги криптовалютного кредитования, была взломана неизвестным, но определённо незаурядным хакером. Использовав механизмы мгновенных займов, маржинальной торговли и уязвимость функции Euler donateToReserves(), предприимчивый  злоумышленник, создав 2 аккаунта и внеся необеспеченный залог, атаковал 5 пулов ликвидности и присвоил активов на общую сумму порядка… 197 миллионов долларов:

  • 8,877,507 DAI
  • 8,080 WETH
  • 846.4 WBTC
  • 73,821 stETH
  • 34,224,863 USDC

Кроме того, как следствие кибер-атаки, собственный токен Euler, EUL, упал более чем на 48%.

Источник: https://blog.chainalysis.com/wp-content/uploads/2023/03/euler-v2-1024×428.png

Согласно отчёта той же CertiK об инциденте, экплойт платформы по состоянию на март стал крупнейшим экплойтом 2023 года и составляет около 70 % всех похищенных хакерами средств за 72 дня. Что называется, «сглазили» J

Euler Labs в попытках успокоить своих пользователей заявили, что остановили прямую атаку, отключив соответствующий модуль eToken, привлекли TRM Labs, Chainalysis и другие ресурсы в сфере безопасности для помощи в расследовании и возврата активов, а также уведомили о правонарушении правоохранительные органы США и Великобритании.

Однако в последующие дни выяснилось, что протокол, содержащий уязвимый код, был проверен и одобрен в ходе 10 (!) аудитов 6 различных фирм, в том числе внешнего аудита (в принципе не свойственного для децентрализованного механизма DeFi), но при этом пробел безопасности существовал с очередного обновления EIP-14 в июле 2022 года, т.е. последние 8 месяцев – и не был обнаружен или устранен¸ несмотря на обещанную компенсацию в 1 миллион долларов за выявленные ошибки. Более того, по мнению аудиторской компании Sherlock, услугами которого пользовались Euler Finance, технически атака по подобному сценарию была возможна даже до EIP-14.

Стоит отметить, что для @sherlockdefi случившееся имело собственные, как репутационные, так и финансовые последствия: опубликовав свои извинения и соболезнования по поводу сложившейся ситуации, компания заявила о выплате Euler Labs 3.3 миллионов долларов США компенсации по предъявленному иску на 4.5 миллиона. Впервые в истории криптоиндустрии аудитор заплатил клиенту за пропущенную во время проверки уязвимость, создав весьма спекулятивный прецедент в этой сфере, не находите?

Эта информация интересно дополняет то, что 15 марта пользователь Twitter Ale Awu – DeFi Researcher (@AwuAle) выложил скрины якобы переписки Euler Finance  с хакерами, где компания предлагала взломщику оставить себе 10% суммы (т.е. почти 20 миллионов долларов США) в качестве вознаграждения, «баунти», и вернуть оставшиеся 90% в течение 24 часов. В противном случае представитель платформы угрожал объявить вознаграждение в сумме 1 миллион долларов США за любую информацию о взломе, которая позволит арестовать нарушителя.

Юзер в своём треде намекнул на непопулярное мнение, что, возможно, Euler Finance, зная об уязвимости, взломали сами себя, скрыв тем самым хищение активов, похитив их или заработав на компенсации от аудиторской компании – по аналогии с банкротством или страховкой в фиатном мире.  Возможно, это совсем немного странно: предлагать за поимку 1 миллион, но быть готовыми пожертвовать самому преступнику в 20 раз больше… Пост не получил широкой поддержки, но любое мнение таки имеет место быть.

Тем временем, 16 марта the Euler Foundation в своём аккаунте в Twitter всё-таки предложили вознаграждение в размере 1 миллиона долларов за любую информацию, которая позволит арестовать того, кто скрывался за аккаунтами Euler Finance Exploiter 1-2, и вернуть похищенные средства.

А сам хакер (или группа хакеров, кто знает) стал совершать относительно многочисленные, но порой очень

Загадочные перемещения активов

Так, часть ETH по информации, опубликованной 16 марта PeckShieldAlert, была выведена в полностью анонимизированный криптомикшер Tornado Cash, после чего пользователями в сети было высказано мнение, что шансы на возврат криптовалюты теперь составляют «0,00000000000000001%». В то же время, по мнению главы службы аудита безопасности BlockSec, например, сумма отмытых злоумышленником денег в данном случае никак не влияет на то, вернёт ли он украденные активы – это, по словам Мэтью Цзян, определяется исключительно желанием «Euler Finance Exploiter».

Параллельно интересную ситуацию описал пользователь @ScopeProtokol:

По его информации некто, «не кит и не миллионер», отправил хакеру транзакцию с просьбой вернуть хотя бы часть его 78 wstETH, которые были всеми его «жизненно важными накоплениями». Казалось бы, смешно и глупо. Но — 16 марта Euler Finance Exploiter аки легендарный Робин Гуд перевёл этому пользователю 100 ETH… Как честный человек, счастливчик должен бы вернуть излишек на нужды других пострадавших. Будем посмотреть J

Ещё одна транзакция (совершённая предположительно 17 марта), на 100 ETH (у парня явно «пунктик» на этой сумме), по версии ресурсов Chainalysis и Lookonchain, заключалась в переводе средств на адрес, связанный с предыдущим взломом Axie Infinity Ronin Bridge, и вероятно принадлежащий синдикату северокорейских хакеров Lazarus Group.  Платформы, специализирующиеся на расследованиях в блокчейн, предположили, что это может говорить как о связи взлома Euler Finance с Северной Кореей (которая в последнее время в этой сфере на волне пугающей популярности), так и просто о желании взломщика запутать следы. А может он занимается благотворительностью в пользу братьев по оружию, кто знает.

Наконец, 18 марта совершенно неожиданно самый популярный незнакомец этой недели вернул самой платформе Euler Finance 3000 ETH (5.4 миллиона долларов), якобы заявив об изменении намерений. Повлияло ли на него обещанное за поимку вознаграждение, или они с компанией таки достигли какого-то консенсуса, пока непонятно. Однако пользователи отметили мгновенный рост цены EUL с 2.3 доллара США до 3.95, т.е. более чем на 70%.

UPD. Пока писалась эта статья, наш загадочный взломщик (или команда взломщиков) снова вышел на связь. Как сообщает аккаунт CertiK Alert, сегодня Euler Finance получил от него он-чейн сообщение с предложением договориться и подтверждением намерения вернуть похищенные активы, «облегчив жизнь всем пострадавшим».

Euler Finance Exploiter: и что теперь?

Станет ли прецедентом этот случай, если компания и «Euler Finance Exploiter» всё же достигнут соглашения? Нет, ведь это далеко не первый возврат денежных средств хакером после взлома – в том числе с приятным утешительным «баунти» для него же.

Станет ли практическим ориентиром для DeFi-платформ опыт взыскания с аудиторской фирмы компенсации за не выявленную вовремя уязвимость протокола, повлёкшую финансовые потери – вполне вероятно да.

Будут ли компании намеренно использовать такую практику, чтобы заработать на ресурсах проверки? Думаю, аудиторы надеются на последние крупицы благородства в этом мире J А вы как считаете?

Поддерживая выводы CertiK, согласимся, что этот инцидент стал отрезвляющим напоминанием о том, что независимо от условий рынка проекты и протоколы несут ответственность за размещаемые средства инвесторов и должны уделять первостепенное внимание безопасности, а аудиторским компаниям стоит ответственно относиться к выполнению своей работы – и в случае всё же случившегося эксплойта быть готовыми нести сопутствующие расходы.

Ну а мы пожелаем юзерам Euler Finance поскорее вернуть свои кровные накопления, а нашим читателям – никогда не попадать в подобные ситуации. Инвестируйте разумно и продолжайте читать нас, вас ждёт ещё много интересного!

UPD.

Согласно твиту Euler Lab по состоянию на 4 апреля хакер вернул все активы, похищенные из протокола, «в результате успешных переговоров».

Получил ли он какой-то бонус, гласный или негласный, финансовый или карьерный, вследствие инцидента и диалога с компанией, история, впрочем, умалчивает.

Но на форуме Euler Finance https://forum.euler.finance/t/plan-for-redemption-of-euler-funds-v2/947 появился подробный механизм компенсации убытков пострадавшим вкладчикам, что не может не радовать. Так что если вы в числе тех самых 141 учётных записей — скорее переходите по ссылке и подавайте информацию о претензии. И да пребудут с вами деньги! И кибербезопасность. В будущем 🙂

Наш спонсор инновационное приложение по поиску недвижимости, у которого нет аналогов – https://t.me/neurostatecom

Метки: , , , ,

One Reply to “Euler Finance: недетские игры и новая эра блокчейн-аудита”

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *