В минувшие выходные Euler Finance подвергся flash loan атаке, и злоумышленникам удалось похитить криптовалюту на сумму около 197 миллионов долларов по текущему курсу. Атака привела к тому, что стоимость токена Euler (EUL) упала на 44,2% за одну ночь.
Представители Euler Labs сообщили об атаке в понедельник, 13 марта 2023 года. Позже компания опубликовала более развернутое заявление, которое гласит, что инцидентом уже занимаются правоохранительные органы.
«Мы продолжаем расследование незаконного изъятия средств из протокола Euler, произошедшего этим утром. Команда Euler Labs предприняла ряд незамедлительных действий, чтобы попытаться вернуть средства и точно определить, что произошло, в том числе мы связались и поделились информацией с правоохранительными органами, а также работаем с независимыми сторонними аудиторами и специалистами по безопасности, — сообщили разработчики. — Нашим главным приоритетом является возврат средств пользователей, и мы прилагаем для этого все усилия».
Известно, что инцидент затронул ряд токенов, включая DAI на сумму 8,75 млн долларов, WBTC на 18,5 млн долларов, USDC на 33,85 млн долларов и stETH на 135,8 млн долларов. При этом за кошельком злоумышленника, который используется для хранения украденных средств, наблюдают ИБ-специалисты.
По информации блокчейн-аналитиков Elliptic, взломщики уже отмывают похищенное через попавший под санкции криптовалютный миксер Tornado Cash.
В свою очередь, компания PeckShield предполагает, что взлом Euler был осуществлен благодаря ошибке в системе для пожертвований и ликвидации. В частности, функция donateToReserves не проверяла, что злоумышленник жертвует сверхзалоговую (over-collateralized) сумму, а система ликвидации некорректно проверяла курс конвертации из заемных средств в залоговые активы.
Эксперты считают, что в атаке участвовали как минимум два злоумышленника, которые координировали свои действия, как показано на иллюстрации ниже.