Euler Finance công bố thông tin sau sự cố bị hack

Euler Finance đang làm việc với cơ quan pháp luật và các công ty bảo mật blockchain nhằm tìm cách liên hệ với tin tặc và thu hồi tài sản.

Giao thức cho vay tài chính phi tập trung (DeFi) Euler Finance đã trở thành nạn nhân của vụ tấn công cho vay nhanh (flashloan) vào ngày 13/3 gây thiệt hại ước tính khoảng 197 triệu USD. Đây là vụ hack DeFi lớn nhất kể từ đầu năm 2023.

Theo Euler Finance, mặc dù từng được kiểm toán bảo mật nhưng lỗ hổng này nằm ngoài quy trình kiểm toán và được cho đã tồn tại 8 tháng. Hiện Euler đã vô hiệu hóa lỗ hổng để chặn gửi tiền và chức năng quyên góp dễ bị tấn công.

BÀI VIẾT LIÊN QUAN

Hàn Quốc xác nhận tin tặc Triều Tiên đứng sau vụ hack 50 triệu USD trên sàn Upbit

Hacker Triều Tiên khai thác lỗi Chrome qua game NFT giả mạo

Bot giao dịch Banana Gun bị hack, người dùng thiệt hại 1,9 triệu USD

Binance phủ nhận trách nhiệm trong vụ hack WazirX

Sherlock, công ty kiểm toán từng làm việc với Euler Finance đã xác minh nguyên nhân chính của vụ hack và giúp Euler gửi yêu cầu bồi thường. Đồng thời Sherlock cũng bồi thường 3,3 triệu USD vào ngày 14/3.

Báo cáo phân tích của Sherlock cho rằng nguyên nhân do những thiếu sót trong chức năng “donateToReserves”, một chức năng mới được thêm vào trong quá trình nâng cấp EIP-14. Tuy nhiên, công ty kiểm toán nhấn mạnh vụ tấn công vẫn có thể xảy ra về mặt kỹ thuật ngay cả trước EIP-14.

Euler has been one of Sherlock's earliest customers. Sherlock has seen that Euler is one of those special teams that goes above and beyond when it comes to security.

Sherlock will do everything in its power to support Euler as they recover.
— SHERLOCK (@sherlockdefi) March 13, 2023

Sherlock nhận định đợt kiểm toán bảo mật của WatchPug đối với Euler Finance vào tháng 7/2022 đã bỏ sót lỗ hổng nghiêm trọng và dẫn đến vụ hack này.

Theo ông Paven Thuật Đỗ – Head of FPT Blockchain, tin tặc đã triển khai nhanh một hợp đồng thông minh trên Ethereum và dùng chính hợp đồng này thực hiện khoản vay nhanh từ giao thức Aave để tấn công vào Euler Finance. Sau khi thực hiện thành công, tin tặc đã đưa toàn bộ tài sản qua giao thức trộn tiền Tornado Cash.

Ông Thuật lưu ý các khoản vay nhanh chỉ là công cụ để khai thác lỗ hổng trên Euler Finance, đồng thời kêu gọi các nhà phát triển DeFi cần kiểm toán kỹ lưỡng với sự tham gia của nhiều công ty kiểm toán uy tín, ngoài ra cần tổ chức “Bug Bounties” để các hacker mũ trắng dò tìm lỗ hổng.

Euler Labs đã liên hệ với các công ty bảo mật blockchain khác như TRM Labs, Chainalysis và cộng đồng bảo mật ETH nhằm hỗ trợ điều tra và thu hồi tài sản. Euler cũng đang cố gắng liên hệ với các tin tặc để tìm hiểu thêm về vấn đề này và thương lượng việc hoàn trả tài sản.

PCB Tổng hợp