- Lo sfruttatore di Ronin Bridge ha ricevuto 100 Ethereum (ETH) del valore di $ 170,468 dallo sfruttatore di Euler Financial.
- Tornado Cash, un noto meccanismo di miscelazione, è stato utilizzato dall'aggressore di Euler Finance per mascherare le sue attività.
Prima di essere attaccato per 196 milioni di dollari, Euler Finance, un sistema di prestito basato su Ethereum, è stato valutato come "niente di più che a basso rischio" in dieci audit indipendenti condotti in due anni.
In seguito all'attacco di prestito flash da 196 milioni di dollari di Euler il 13 marzo, il CEO di Euler Labs Michael Bentley ha scritto in una serie di tweet il 17 marzo sui "giorni più difficili" della sua vita.
Ha ritwittato un utente che aveva condiviso informazioni su Euler ricevendo 10 audit da sei diverse aziende, affermando che la piattaforma "è sempre stata un'iniziativa orientata alla sicurezza" e aggiungendo di aver ritwittato l'individuo.
Lo smart contract di Euler Financial è stato verificato dalle società di sicurezza blockchain Halborn, Solidified, ZK Labs, Certora, Sherlock e Omnisica tra maggio 2021 e settembre 2022.
Inoltre, il 17 marzo, lo sfruttatore di Ronin Bridge ha ricevuto 100 Ethereum (ETH) dallo sfruttatore di Euler Financial, per un valore di $ 170,468. Guarda catena, interrogato se il trasferimento è stato involontario o se ha dimostrato che i due hacker erano la stessa persona.
L'impatto che tiene
Calcolando la "probabilità di un incidente di sicurezza" e il potenziale impatto, Halborn ha valutato la propria valutazione del rischio, con un livello di rischio che andava da molto basso e informativo a critico. "Niente di più alto del basso rischio" è stato dato a Eulero.
Un riepilogo dell'audit di Halborn del dicembre 2022 affermava che aveva prodotto "un risultato complessivamente soddisfacente".
Secondo il rapporto, Halborn ha "ispezionato e studiato" 23 contratti intelligenti in un mese, ma sono stati trovati solo "due rischi bassi e tre rischi informativi".
Dopo aver esaminato l'assicurazione di Halborn, Euler ha affermato di aver concluso che i rischi "non rappresentano minacce serie".
Ci sono state voci secondo cui il famigerato gruppo di hacker nordcoreano Lazarus, collegato all'attacco al Ronin Bridge, è anche responsabile dell'exploit finanziario di Euler.
Tuttavia, la transazione non offre una prova concreta della relazione tra le parti. L'attaccante di Euler Finance ha tentato di nascondere le sue transazioni utilizzando Tornado Cash, un meccanismo di miscelazione riconosciuto. Inoltre, l'attaccante ha inviato a una delle vittime dell'exploit 100 ETH.
Cosa c'è dopo?
Solo 24 ore prima della taglia, Euler aveva avvertito che se il 90% dei fondi non fosse stato restituito in quel tempo, ne avrebbe lanciato uno "che porta al tuo arresto e alla restituzione di tutti i fondi".
Oltre a questo, la società di sicurezza blockchain Omnisica ha corretto vari "concetti errati" e il modo in cui la modalità di scambio era "gestita dalla base di codice" nell'implementazione principale dello swapper di Euler.
Lo studio affermava che Eulero aveva "completamente affrontato" questi problemi e che a questo punto non c'erano "difficoltà in sospeso".
Fonte: https://ambcrypto.com/euler-finance-hack-everything-latest-that-you-need-to-know/