Sau sự cố flash loan thiệt hại đến gần 200 triệu USD mới đây, giao thức cho vay Euler Finance sẽ triển khai “bug bounty” 1 triệu USD để truy lùng kẻ tấn công nếu hắn không trả lại tiền.
Cập nhật sáng ngày 16/03/2023:
Rạng sáng ngày 16/03, Euler Finance đã chính thức công bố phần thưởng bug bounty trị giá 1 triệu USD cho thông tin dẫn đến việc bắt giữ hacker tấn công vào dự án và khôi phục lại tiền. Điều này cho thấy quá trình đàm phán giữa Euler và hacker đã không đi đến kết quả nào.
If you have any information you believe will be helpful, please send it to the Euler Foundation at reward@euler.foundation.
You can see the reward ready, at this address:https://t.co/al3xZg77yg
— Euler Labs (@eulerfinance) March 15, 2023
Trong khi đó, hacker Euler bị phát hiện đã bắt đầu chuyển tiền lên Tornado Cash.
#PeckShieldAlert Update
~1,500 $ETH sit in 0xc66d…c9a
~1,000 $ETH into Tornado Cash
~100 $ETH has been transferred to 0x2af2…407 (A Victim) https://t.co/HV1Ff99abV pic.twitter.com/v59ZzlD8Pi— PeckShieldAlert (@PeckShieldAlert) March 16, 2023
Ngoài ra, hacker còn gửi lại 100 ETH cho một người tự nhận là nạn nhân của vụ tấn công và bị thiệt hại 78 ETH.
🚨For anyone who gets affected by the #Euler hack, watch this:
Someone(0x2a) sends a message to the hacker saying his life-saving (78 $ETH) is in @eulerfinance.
The hacker then sends him 100 $ETH.
If 0x2a is being honest, it made extra 22 $ETH back.https://t.co/esoHOofXM0 pic.twitter.com/n6iEa4PKpB— 0xScope (🪬 . 🪬) (@ScopeProtocol) March 16, 2023
Bài viết gốc:
Trong một tin nhắn on-chain gửi đến kẻ tấn công vào ngày 15/03, Euler Finance tuyên bố sẽ treo thưởng “bug bounty” 1 triệu USD để lần theo dấu vết bắt giữ tin tặc đã cuỗm mất gần 200 triệu USD của giao thức.
Nội dung tin nhắn như sau:
“Nếu 90% số tiền không được trả lại trong vòng 24 giờ, ngày mai chúng tôi sẽ treo phần thưởng 1 triệu USD cho để bắt giữ ông và lấy lại tất cả khoản tiền.”
yesterday’s message pic.twitter.com/VCqJYpxYIe
— 0xngmi (llamazip arc) (@0xngmi) March 14, 2023
Cùng ngày sự cố xảy ra (13/03), Euler Finance đã gửi đến kẻ tấn công một tin nhắn thoả hiệp như sau:
“Chúng tôi biết ông là người thực hiện cuộc tấn công sáng nay trên nền tảng Euler. Chúng tôi viết thư này để xem liệu ông có sẵn lòng nói chuyện với chúng tôi về bất kỳ bước tiếp theo nào hay không.”
Như Coin68 đã tường thuật vụ việc, lỗ hổng khiến Euler bị tấn công nằm ở hàm “donateToReserves” khi cho phép người dùng nạp EToken vào mà không kiểm tra chỉ số sức khoẻ của tài khoản. Dẫn đến việc hacker có thể dễ dàng rút tài sản khỏi nền tảng bằng cách tự thanh lý khoản vay “không có thực” của mình.
Hacker sau đó đã nhanh chóng phân tán lượng tiền ra các ví khác nhau, đồng thời chuyển một phần vào Tornado Cash nhằm phi tang dấu vết.
Theo tiết lộ của Euler, lỗ hổng này đã tồn tại trong 8 tháng qua mà không một ai phát hiện, dù cho dự án đã tiến hành audit và thậm chí tổ chức bug bounty 1 triệu USD trong khoảng thời gian đó.
Sau vụ tấn công, nền tảng cho vay đã có một số nỗ lực khắc phục tình hình như: vô hiệu hoá EToken; liên hệ các bên bảo mật blockchain để điều tra khôi phục số tiền; thông tin đến chính quyền Mỹ về sự cố.
One of our auditing partners, @Omniscia_sec, prepared a technical post-mortem and analysed the attack in great detail. You can read their report here:https://t.co/u4Z2xdutwe
In short, the attacker exploited vulnerable code which allowed it to create an unbacked token debt… https://t.co/FGnPqvYUGB
— Euler Labs (@eulerfinance) March 14, 2023
Giá EUL hiện đang ở quanh mốc 2.59 USD, giảm gần 16% trong vòng 24 giờ qua.
Coin68 tổng hợp
Có thể bạn quan tâm:
- Phát hiện “lỗi nghiêm trọng” trong mã code Dogecoin và đã lan ra 280 blockchain khác
- Safeheron phát hiện lỗ hổng “lộ private key” khi tương tác với dApp trên StarkNet
