Euler Finance đã bị hack hơn 195 triệu USD trong một cuộc tấn công cho vay chớp nhoáng
Euler Finance đã bị hack trong một cuộc tấn công cho vay chớp nhoáng làm cạn kiệt hàng trăm triệu stablecoin phi tập trung và mã thông báo ERC-20 tổng hợp.
Giao thức cho vay không giám sát Euler Finance dựa trên Ethereum đã phải đối mặt với một cuộc tấn công cho vay chớp nhoáng vào ngày 13 tháng 3, với việc hacker đã đánh cắp hàng triệu USD trong Dai, USDC, StETH và WBTC.
Theo dữ liệu trên chuỗi, theo bản cập nhật cuối cùng, hacker đã thực hiện nhiều giao dịch, đánh cắp gần 196 triệu USD. Cuộc tấn công đang diễn ra đã trở thành vụ hack lớn nhất năm 2023. Phân tích số tiền bị đánh cắp như sau:
Theo công ty phân tích tiền điện tử Meta Seluth, cuộc tấn công tương quan với cuộc tấn công giảm phát một tháng trước. Hacker đã sử dụng một cây cầu đa chuỗi để chuyển tiền từ Chuỗi thông minh BNB (BSC) sang Ethereum và tiến hành cuộc tấn công ngày hôm nay.
ZachXBT, một nhà điều tra on-chain nổi bật khác, đã nhắc lại điều tương tự và nói rằng sự di chuyển của các quỹ và bản chất của cuộc tấn công có vẻ khá giống với những chiếc mũ đen đã khai thác một giao thức dựa trên BSC vào tháng trước. Sau khi khai thác một giao thức trên BSC, tiền đã được gửi vào bộ trộn tiền điện tử, Tornado Cash.
Số tiền bị đánh cắp hiện đang nằm trong các địa chỉ tin tặc sau:
- 0xebc29199c817dc47ba12e3f86102564d640cbf99 (Hợp đồng) – 8.877.507,34 DAI
- 0xb2698c2d99ad2c302a95a8db26b08d17a77cedd4 – 8.080,97 ETH
- 0xb66cd966670d962c227b3eaba30a872dbfb995db – 88.752,69 ETH & 34.186.225,91 DAI
Euler Finance thừa nhận việc khai thác và cho biết họ hiện đang làm việc với các chuyên gia bảo mật và cơ quan thực thi pháp luật để giải quyết vấn đề.
We are aware and our team is currently working with security professionals and law enforcement. We will release further information as soon as we have it. https://t.co/bjm6xyYcxf
— Euler Labs (@eulerfinance) March 13, 2023
Một phân tích chi tiết về cuộc tấn công của công ty bảo mật chuỗi khối Slowmist chỉ ra rằng hacker đã sử dụng các khoản vay nhanh để gửi tiền và sau đó sử dụng chúng hai lần để kích hoạt thanh lý. Người khai thác đã quyên góp tiền cho địa chỉ dành riêng và tiến hành tự thanh lý để thu thập bất kỳ tài sản nào còn lại.
Có hai yếu tố góp phần vào sự thành công của việc khai thác. Đầu tiên, tiền được quyên góp cho địa chỉ dành riêng mà không bị kiểm tra thanh khoản, kích hoạt thanh lý mềm. Thứ hai, logic thanh lý mềm được kích hoạt bởi đòn bẩy cao, cho phép người thanh lý có được hầu hết các khoản tiền thế chấp từ tài khoản của người dùng bị thanh lý bằng cách chỉ chuyển một phần nợ cho chính họ.
Gustavo Gonzalez, nhà phát triển giải pháp tại công ty bảo mật chuỗi khối OpenZeppelin, nói rằng tất cả chỉ xảy ra trong một giao dịch (một giao dịch cho mỗi nhóm) sử dụng các khoản vay flash từ AAVE. Anh ấy đã giải thích:
“Dường như có một lỗi trong một trong các hợp đồng thông minh của Euler, trong đó nó không kiểm tra yếu tố sức khỏe khi thực thi hàm donateToReservers(). Do đó, hacker đã có thể tự thanh lý khỏi giao thức, trả lại flashloan và kiếm được lợi nhuận khổng lồ.”
Euler Finance đã huy động được 32 triệu USD trong vòng cấp vốn vào năm ngoái với sự tham gia của FTX, Coinbase, Jump, Jane Street và Uniswap.
Euler Finance đã trở nên khá nổi tiếng nhờ cung cấp các dịch vụ phái sinh đặt cược thanh khoản (LSD). LSD là một loại mã thông báo tương đối mới cho phép người đặt cược tăng lợi nhuận tiềm năng bằng cách mở khóa tính thanh khoản cho tiền điện tử được đặt cọc, chẳng hạn như Ether. Hiện tại, LSD chiếm tới 20% tổng giá trị bị khóa trong các giao thức tài chính phi tập trung.
