Протокол кредитования Euler Finance подвергся эксплойту, в результате которого хакеры украли более $196 млн в криптовалюте. В инциденте пострадали еще как минимум 11 протоколов децентрализованного финансирования (DeFi), которые в общей сложности потеряли ~$37,6 млн.
13 марта DeFi-протокол Euler Finance подвергся атаке флэш-кредита. Злоумышленникам удалось украсть более $196 млн.
Команда Euler Finance подтвердила эксплойт и заявила, что начала расследовать происшествие со специалистами по безопасности и правоохранительными органами. Согласно данным BlockSec, хакеры вывели из протокола:
- 8,8 млн DAI (~$8,7 млн);
- 34,4 млн USDC (~$33,9 млн);
- 849 WBTC (~$18,5 млн);
- 85,8 тыс. stETH (~$135,8 млн).
Согласно расследованию Slowmist, благодаря ошибке злоумышленникам удалось дважды использовать один и тот же флэш-кредит — для залога и ликвидации. От взлома пострадали и другие DeFi-протоколы, которые были тем или иным образом связаны с Euler в момент эксплойта:
- Balancer. Один из пулов AMM-протокола потерял 65% TVL, поскольку во время взлома из него было отправлено ~$11,9 млн в Euler. Аварийный механизм протокола вынужден был заблокировать оставшиеся в пуле средства.
- Angle Protocol. Команда протокола сообщила, что в результате эксплойта Euler они потеряли ~17,6 млн USDC, что может значительно повлиять на ликвидность стейблкоина agEUR, поэтому его чеканка была временно приостановлена.
- Idle Finance. Семь пулов DeFi-протокола были затронуты во время эксплойта, из них было украдено ~$5,9 млн в USDC, USDT и WETH. Команда была вынуждена заморозить все оставшиеся в пулах средства.
- Yearn Finance. Пулы ликвидности платформы также были затронуты. Команда сообщает о возможной потере ~$1,5 млн.
- InverseFinance. Один из пулов протокола понес убытки в размере $860 тыс. благодаря тому, что взаимодействовал с Balancer в момент эксплойта.
- SwissBorg. Команда проекта сообщила, что «небольшая часть Smart Yield Program была затронута» эксплойтом, конкретная сумма не была названа. Однако все средства были моментально компенсированы пользователям благодаря «процедуре управления рисками».
Также стало известно о возможных потерях еще нескольких DeFi-протоколов — Opyn, Mean, Sense и Harvest. Однако конкретных цифр команды проектов не предоставили. Таким образом, эксплойт Euler затронул как минимум 11 различных DeFi-протоколов, которые в совокупности потеряли не менее $37,6 млн.
Аудиторы из Sherlock указали на то, что текущий эксплой стал результатом халатности компании WatchPug, которая проводила аудит безопасности Euler в июле 2022 года и пропустила критическую уязвимость.
Команда проекта подтвердила, что уязвимость, которая была использована хакерами, действительно «существовала в цепочке в течение восьми месяцев» и не была обнаружена «белыми шляпами». Стоит отметить, что программа баг-баунти протокола предлагала $1 млн за обнаружение уязвимости. Хакеры воспользовались возможностью выполнить функцию donateToReservers, где, благодаря ошибке, не проводилась «надлежащая проверка работоспособности учетной записи».
В результате эксплойта протокол кредитования Euler Finance потерял более 96% TVL. Согласно данным DeFiLlama, 13 марта в смарт-контрактах протокола было заблокировано более $263 млн в криптовалюте, а 12 марта — лишь чуть более $10 млн.
Активность хакеров, по всей видимости, набирает обороты. Напомним, в январе 2023 года им удалось украсть всего $740 тыс., в феврале «улов» был выше — $21 млн, а благодаря взлому Euler Finance март может поставить новый рекорд после Hacktober 2022.