Взлом на $200млн. Как это было и чему учит это история? Многи | Blockchain & DeFi Hardcore

Взлом на $200млн. Как это было и чему учит это история?

Многие из вас уже слышали про взлом EULER, но самый Цимес, я расскажу ниже.

Eular Finance - кредитный протокол в сети Ethereum, подвергся эксплойту/взлому DeFi 13 марта 2023 года, в результате чего было украдено более $200 миллионов долларов в 16817996 блоке. Награбленное добро: $136M в stETH, $34M в USDC, $18.5M в WBTC и $8.8M в DAI.

Источник: https://etherscan.io/tx/0xc310a0affe2169d1f6feec1c63dbc7f7c62a887fa48795d327d4d2da2d6b111d.

Сам Euler был запушен 1 декабря 2021 и прошел множество аудитов от Omniscia - September 2022, Sherlock - July 2022, Omniscia - June 2022, Omniscia - March 2022, Sherlock - December 2021, Sherlock - December 2021, Certora - September 2021, Halborn - May 2021, Solidified and ZK Labs - May 2021, PenTestPartners.com - June 2022

Вроде бы все стабильно и надежно, но как же произошел взлом?

Согласно отчету ChainAnalysis, атака былы произведена за счет Flashloan (быстрый кредит,позволяющий брать необеспеченные суды и исполнять их в одной транзакции) и «проблема с ликвидностью в функции DonateToReserve» вызывала дисбаланс в eToken (представляющий залог) и dToken (представляющий долг).

Источник: https://blog.chainalysis.com/reports/euler-finance-flash-loan-attack

В общих словах:

→ Занимаешь 30 млн DAI у Aave
→ Размещаешь 20 млн DAI в Euler, и под них занимаешь 200 млн eDAI
→ Оставшиеся 10млн DAI из AAVE оплачиваешь часть долга в Euler
→ Потом снова занимаешь eDAI
→ Тут идет ликвидация кредита в Euler, так как eDAI < dDAI
→ Если в этот момент тебе захотелось пивка и выключить этот пост, понимаю, но это развивает интеллект.
→ Потом идет вывод 38.9млн DAI с погашением eDAI & dDAI
→ И выплата 30млн DAI flashloan
→ Затем обмен USDC & WBTC на DAI & ETH, так как в первых двух есть функцию заморозки средств.

А потом началось самое интересное. Переговоры с Хакером, в которых команда проекта предложила награду в $1млн долларов за помощь в раскрытия кошелька злоумышленника.

Команда проекта, так же и написала сообщение в транзакции с предложением вернуть средства, на что хакер предложил 10% оставить себе. А это $20,000,000 не кислый Куш. ( https://etherscan.io/tx/0x6715fb8f0e8dfe7b6c5ad7577a5bdc773dc7baca84a7c63492863aeaf2f6b1fe)

В результате переговоров, все средства были возвращены и 3 апреля 2023 опубликован официальной ответ от EULER.

Компания также заявила, что это «напоминание всем потенциальным BlackHat(хакерам) о том, что очень трудно оставаться анонимным в Интернете, если вас ищет достаточно квалифицированная и мотивированная группа людей».

Завершая этот пост, хочу еще раз обратить ваше внимание на то, что почти любой анонимный кошелек или группа лиц может быть очень быстрой найдена.

Финансовые преступления будущего будут делаться не гопниками в малиновых пиджаках, а математиками и разработчиками лучших вузов планеты.