Euler travaille actuellement à la récupération de ses fonds dérobés. La société bénéficie de la participation des sociétés de sécurité blockchain ainsi que des forces de l’ordre pour entrer en contact avec le pirate.
Les mesures prises par Euler
Euler Finance, le protocole DeFi opérant dans le lending crypto a été victime récemment du plus gros hack connu de 2023 jusqu’ici. À la suite de cette attaque de flash loan (prêt flash), la plateforme a enregistré une perte avoisinant les 197 millions de dollars. De plus, 11 autres protocoles DeFi auraient été impactés.
Le 14 mars, Euler Finance a annoncé aux utilisateurs que son équipe de développement avait désactivé le module vulnérable etoken, entraînant ainsi le blocage des dépôts et l’arrêt de fonction de don vulnérable.
Selon les déclarations de la société, l’équipe collabore avec des acteurs de la sécurité blockchain pour procéder aux vérifications de son protocole.
De ce fait, le code sujet aux vulnérabilités a été analysé et approuvé lors d’un audit externe. Pourtant, la faille du système n’a pas été repérée dans le cadre de l’audit.
One of our auditing partners, @Omniscia_sec, prepared a technical post-mortem and analysed the attack in great detail. You can read their report here:https://t.co/u4Z2xdutwe
In short, the attacker exploited vulnerable code which allowed it to create an unbacked token debt… https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) March 14, 2023
Le module vulnérable est resté on-chain durant 8 mois jusqu’à ce qu’il soit utilisé, en dépit d’un précédent bug d’un million de dollars.
L’investissement en crypto-monnaies est proposé par eToro (Europe) Ltd en tant que PSAN, enregistré auprès de l’AMF. Les crypto-monnaies sont très volatiles. Pas de protection des consommateurs.
La principale cause du hack
Sherlock, la société d’audit ayant déjà travaillé pour Euler Finance dans d’autres circonstances, a analysé la cause sous-jacente de l’attaque et a apporté de l’aide à Euler dans le cadre de la soumission d’une réclamation.
Le protocole d’audit a par la suite procédé à un vote pour une demande de 4,5 millions de dollars, qui a été approuvée, puis a effectué le 14 mars un paiement estimé à 3,3 millions de dollars.
Le rapport d’analyse de Sherlock apporte plus de détails au hack d’Euler. En effet, il en ressort que la vérification insuffisante de l’élément “donateToReserves” aurait favorisé le prêt flash.
Il s’agit d’une nouvelle fonction implémentée dans EIP-14. Toutefois, le protocole a précisé que le hacker disposait techniquement des moyens de commettre son forfait même avant l’arrivée du EIP-14.
La société d’audit explique également que l’audit d’Euler Finance effectué en juillet 2022 par WatchPug est passé à côté du module de vulnérabilité critique, principale cause du hack.
Similarly, Sherlock stands behind every auditor who reviewed Euler.
Sherlock initially worked with @cmichelio to audit the first version of Euler in Dec 2021, then with @shw9453 to audit a very small update in Jan 2022, and finally with @WatchPug_ to audit EIP-14 in July 2022.
— SHERLOCK (@sherlockdefi) March 13, 2023
Dans sa recherche de réponses, Euler Finance a fait appel à d’autres sociétés d’analyse on-chain et de sécurité blockchain, notamment Chainalysis et TRM Labs, dans le but de l’épauler dans l’enquête et la récupération des fonds.
Euler veut négocier avec le hacker
Euler essaye d’entrer en contact avec les hackers afin d’entrer en phase de négociation pour toucher une prime en contrepartie des fonds volés.
An update on our work today to recover funds for Euler protocol users.
Here are a few actions we took immediately:
1. Stopped the direct attack as soon as possible by helping disable the EToken module, which blocked deposits and the vulnerable donation function
2. Engaged TRM… https://t.co/6ZClE9uGoH
— Euler Labs (@eulerfinance) March 14, 2023
En effet, l’entreprise exige au hacker la restitution dans les 24 heures de 90 % des fonds qu’il a dérobés. En cas de refus, le contrevenant s’expose à des conséquences juridiques.
Suite à notre message d’hier. Si 90 % des fonds ne sont pas restitués dans les 24 heures, nous lancerons demain une récompense de 1 million de dollars pour les informations qui conduisent à votre arrestation et à la restitution de tous les fonds.
L’investissement en crypto-monnaies est proposé par eToro (Europe) Ltd en tant que PSAN, enregistré auprès de l’AMF. Les crypto-monnaies sont très volatiles. Pas de protection des consommateurs.
Source : Twitter Euler Finance
Sur le même sujet :
- Un hack sur la blockchain Hedera Hashgraph !
- DeFi : un hacker renvoie les fonds volés à Tender.fi en échange d’une prime de 97 000 $
- 647 jours après, le hacker d’Uranium Finance transfère 3.3 millions $
Partager
Charles Ledoux
