El protocolo de préstamos Euler Finance sufrió un exploit que provocó que los hackers robaran más de 196 millones de dólares en criptomonedas. Al menos otros 11 protocolos de finanzas descentralizadas (DeFi) se vieron afectados en el incidente, perdiendo un total de unos 37,6 millones de dólares.
El 13 de marzo, el protocolo DeFi Euler Finance sufrió un ataque de préstamo flash. Los atacantes consiguieron robar más de 196 millones de dólares.
El equipo de Euler Finance confirmó el exploit y aseguró que había comenzado a investigar el incidente con expertos en seguridad y fuerzas de seguridad. Según BlockSec, los hackers sacaron del protocolo:
- 8,8 millones de DAI (~8,7 millones de dólares);
- 34,4 millones de USDC (~33,9 millones de dólares);
- 849 WBTC (~18,5 millones de dólares);
- 85.800 stETH (~135,8 millones de dólares).
Según la investigación de Slowmist, debido a un fallo, los atacantes consiguieron utilizar dos veces el mismo préstamo flash: para la garantía y para la liquidación. Otros protocolos DeFi que estaban vinculados a Euler de un modo u otro en el momento del exploit también se vieron afectados por el hackeo:
- Balancer. Uno de los pools del protocolo AMM perdió el 65% de TVL, ya que se enviaron ~11,9 millones de dólares desde él a Euler durante el hackeo. El mecanismo de emergencia del protocolo se vio obligado a bloquear los fondos restantes del pool.
- Angle Protocol. El equipo del protocolo informó de que habían perdido ~$17,6 millones de USDC como resultado del exploit de Euler, lo que podría afectar significativamente a la liquidez de la stablecoin agEUR, por lo que se suspendió temporalmente su acuñación.
- Idle Finance. Siete pools del protocolo DeFi se vieron afectados durante el exploit, con ~5,9 millones de USDC, USDT y WETH robados. El equipo se vio obligado a congelar los fondos restantes en los pools.
- Yearn Finance. Los pools de liquidez de la plataforma también se han visto afectados. El equipo informa de una posible pérdida de ~1,5 millones de dólares.
- InverseFinance. Uno de los pools del protocolo sufrió una pérdida de 860.000 $ por interactuar con Balancer en el momento del exploit.
- SwissBorg. El equipo del proyecto informó de que “una pequeña parte del programa Smart Yield se vio afectada” por el exploit, no se dio ninguna cantidad específica. Sin embargo, todos los fondos fueron compensados instantáneamente a los usuarios gracias a un “procedimiento de gestión de riesgos”.
También se informó de que otros protocolos DeFi —Opyn, Mean, Sense y Harvest— habían sufrido posibles pérdidas. Sin embargo, los equipos del proyecto no facilitaron cifras concretas. Así pues, el exploit de Euler afectó al menos a 11 protocolos DeFi diferentes, que en conjunto perdieron al menos 37,6 millones de dólares.
Los auditores de Sherlock señalaron que el actual exploit fue el resultado de la negligencia de la empresa WatchPug, que realizó una auditoría de seguridad de Euler en julio de 2022 y pasó por alto una vulnerabilidad crítica.
El equipo del proyecto confirmó que la vulnerabilidad, que fue explotada por los hackers, efectivamente “existía en la cadena desde hacía ocho meses” y no había sido detectada por los “sombreros blancos”. Cabe señalar que el programa del protocolo de recompensas por fallos ofrecía un millón de dólares por el descubrimiento de la vulnerabilidad. Los piratas informáticos aprovecharon la oportunidad para realizar una función donateToReservers en la que, debido a un fallo, no había una “comprobación adecuada del estado de la cuenta”.
Como resultado del exploit, el protocolo de préstamo Euler Finance perdió más del 96% de TVL. Según DeFiLlama, el 13 de marzo se bloquearon más de 263 millones de dólares en criptomonedas en los contratos inteligentes del protocolo, y algo más de 10 millones el 12 de marzo.
La actividad de los hackers parece estar ganando impulso. Recordemos que en enero de 2023 sólo consiguieron robar 740.000 $, en febrero la cifra fue mayor: 21 millones de dólares, y gracias al hackeo de Euler Finance marzo podría marcar un nuevo récord después de Hacktober 2022.