Największy atak tego roku – wykradziono prawie 200 mln dolarów
Oparty na Ethereum protokół niepowierniczych pożyczek Eurler finance stanął w obliczu ataku flash loan, w którym atakujący zdołał ukraść prawie 200 mln dolarów w różnych kryptowalutach.
Według danych w łańcuchu, zgodnie z ostatnią aktualizacją, atakujący przeprowadził wiele transakcji, kradnąc prawie 196 mln dolarów. Trwający atak stał się już największym włamaniem 2023 roku.
Według krypto-analitycznej firmy Meta Seluth atak koreluje z atakiem deflacyjnym sprzed miesiąca. Haker wykorzystał most wielołańcuchowy do przeniesienia środków z BNB Smart Chain (BSC) do Ethereum i rozpoczął atak dzisiaj.
ZachXBT, inny wybitny detektyw on-chain, dodał, że przepływ funduszy i charakter ataku wydaje się dość podobny do czarnych kapeluszy, które wykorzystały protokół oparty na BSC w zeszłym miesiącu. Po wykorzystaniu protokołu w BSC środki zostały zdeponowane w mikserze kryptowalut Tornado Cash.
Euler Finance przyznał się do włamania i powiedział, że obecnie współpracuje ze specjalistami ds. Bezpieczeństwa i organami ścigania, aby rozwiązać problem.
Szczegółowa analiza ataku przeprowadzona przez firmę Slowmist zajmującą się bezpieczeństwem Blockchain wskazuje, że atakujący wykorzystał pożyczki błyskawiczne do zdeponowania środków, a następnie lewarował je dwukrotnie, aby uruchomić likwidację. Atakujący przekazał środki na zarezerwowany adres i przeprowadził samolikwidację w celu odzyskania pozostałego majątku.
Na sukces ataku złożyły się dwa czynniki. Po pierwsze, środki zostały przekazane na zarezerwowany adres bez kontroli płynności, co uruchomiło likwidację miękką. Po drugie, logika miękkiej likwidacji została uruchomiona przez wysoką dźwignię finansową, umożliwiającą likwidatorowi uzyskanie większości środków zabezpieczających z konta likwidowanego użytkownika poprzez przeniesienie na siebie tylko części zobowiązań.
Gustavo Gonzalez, twórca rozwiązań w firmie OpenZeppelin zajmującej się bezpieczeństwem Blockchain, powiedział, że wszystko wydarzyło się w jednej transakcji (jedna na pulę) przy użyciu pożyczek błyskawicznych (ang. flash loans) z AAVE.
Wygląda na to, że w jednym z inteligentnych kontraktów Eulera jest błąd, który nie sprawdza współczynnika zdrowia podczas wykonywania funkcji donateToReservers(). Dzięki temu atakujący był w stanie zlikwidować się z protokołu, spłacić pożyczkę i osiągnąć ogromny zysk.
– wyjaśnił.
źródło: cointelegraph.com
Strona ma charakter informacyjny. Nie ponosimy odpowiedzialności za decyzje związane z inwestowaniem na rynku kryptowalut.
