News Cập nhật thiệt hại từ Euler Finance và các dự án liên quan

Trong chiều ngày 13/03, dự án lending Euler Finance đã bị tấn công flash loan, với thiệt hại lên đến 9 chữ số. Mới đây, những chi tiết về vụ việc đã được dự án công bố, hé lộ cách thức tấn công giao thức của hacker.

​

Trên trang Twitter của Euler Finance, bài viết giải thích về sự cố kỹ thuật (Post-Mortem) đã được đăng tải:

https://twitter.com/i/web/status/1635431726364147712

“Một vài cập nhật về những gì chúng tôi đang làm hôm nay để lấy lại được tài sản cho người dùng Euler.
Ngừng các nguy cơ bị tấn công ngay lập tức bằng cách vô hiệu hoá tính năng Etoken, chặn các thao tác nạp tiền vào hàm donate bị gặp lỗ hổng trước đó.
Hợp tác cùng TRM Labs, Chainalysis và các đơn vị kỹ thuật khác của ETH để điều tra vụ việc và lấy lại được tài sản.
Báo cáo với các cơ quan hành pháp tại Mỹ và Anh.
Chúng tôi cũng đang liên hệ với các cá nhân tổ chức chịu trách nhiệm cho vụ tấn công này để xem xét giải pháp và hướng đi mới.”

Theo báo cáo kỹ thuật, lỗ hổng khiến Euler bị tấn công nằm ở hàm “donateToReserves” khi cho phép người dùng nạp EToken vào mà không kiểm tra chỉ số sức khoẻ của tài khoản. Dẫn đến việc hacker có thể dễ dàng rút tài sản khỏi nền tảng dù không thoả các điều kiện cơ bản của quá trình cho vay.

Thông tin từ đơn vị bảo hiểm Sherlock cho biết, thiệt hại của Euler trong vụ việc lên đến 200 triệu USD. Lượng tài sản được bảo đảm của Euler là 4,5 triệu USD, trong đó 3,3 triệu USD đã được thanh toán sau vụ việc.

https://twitter.com/i/web/status/1635366465888215042

Dù vậy, ảnh hưởng của Euler Finance còn lan ra nhiều dự án DeFi khác, khi các mảnh ghép đều sử dụng nền tảng của Euler để xây dựng sản phẩm của mình.

Nhiều cái tên phổ biến bao gồm:

• Balancer: Đơn vị đã chuyển 11,9 triệu USD vào Euler dưới dáng token bbeUSD.
• Yearn Finance: thiệt hại ước tính 1,38 triệu USD.
• Angle Protocol: ước tính thiệt hại 17 triệu USDC.
• Yield Protocol: ước tính 1,5 triệu USD.
• Inverse Finance: 860.000 USD.
• Một vài cái tên khác như Mean, Opyn, Sense,…

Trước đó, như Coin68 đã đề cập, hacker đã nhanh chóng phân tán lượng tiền ra các ví khác nhau, đồng thời chuyển một phần vào Tornado Cash nhằm phi tang dấu vết.

Một sự kiện hi hữu khác, đó là một bot giao dịch chênh lệch đã front-run được hacker, từ đó phần nào cuỗm được số tiền bị đánh cắp. Dù vậy, vì không có hình thức liên hệ phù hợp, ví bot này đã vô tình chuyển ngược lại tiền cho hacker.

https://twitter.com/i/web/status/1635253247912079360

Trong một đoạn tin nhắn gửi lại, ví bot này chia sẻ.

“Tôi là chủ sở hữu của một MEV bot và vô tình front-run giao dịch đầu tiền của hacker. Tôi cố front-run giao dịch thứ hai nhưng không thành công và chỉ thấy một contract mới được tạo ra. Tôi đã cố gửi lại tiền nhưng contract này chỉ có thể gửi lại vào địa chỉ xuất hiện ở phần bytecode. Không may là tiền đã trở lại vào địa chỉ của kẻ tấn công. Tôi đã thử hết cách và rất tiếc với những ai đã mất tiền trong vụ việc này.”

https://twitter.com/i/web/status/1635253563395043331

Dù vậy, ở phía dưới phần bình luận, thám tử DeFi ZachXBT cho rằng không tin đây là sự thật, vì ví nói trên từng có tiền sử tấn công một giao thức trên BSC với số tiền là 346.000 USD.