Tin tặc tài chính Euler từ chối lời đề nghị trị giá 20 triệu đô la, trộn 1.000 ETH vào tiền mặt Tornado

17

Vụ hack giao thức cho vay Euler Finance trị giá 200 triệu đô la đã diễn ra bất ngờ vào ngày 16 tháng 3, khi thủ phạm rõ ràng đã từ chối lời đề nghị trị giá 20 triệu đô la bằng cách trộn 1.000 ETH (trị giá 1,65 triệu đô la) qua Tornado Cash.

Theo PeckShield, những kẻ tấn công đã thực hiện 10 giao dịch với Tornado Cash. Trong mỗi lần, họ gửi 100 ETH đến một địa chỉ trung gian. Do đó, tin tặc hiện có 1.000 ETH được làm xáo trộn trong Tornado Cash và có 1.500 ETH trong địa chỉ được sử dụng để thực hiện cuộc tấn công — khiến cho Euler Finance (và cơ quan thực thi pháp luật) rất khó theo dõi IRL.

20 triệu USD là không đủ

Vào ngày 15 tháng 3, Euler Finance đã công khai cung cấp cho những kẻ tấn công buôn bán Nếu họ trả lại phần còn lại, họ sẽ được giữ 10% trong số 200 triệu đô la bị đánh cắp. Việc từ chối làm như vậy cuối cùng đã dẫn đến việc Euler Finance trao phần thưởng trị giá 1 triệu đô la cho bất kỳ ai có thông tin dẫn đến việc bắt giữ họ.

Nhưng theo dữ liệu trên chuỗi, tin tặc đã bỏ qua đề xuất của Euler Finance và thay vào đó trộn tiền điện tử vào Tornado Cash chỉ vài giờ sau khi đề xuất được công khai.

Giao dịch từ EulerFinance Hacker sang Tornado Cash
Hình ảnh: Etherscan

Nhưng đó không phải là tất cả tin xấu. Theo yêu cầu của họ, tin tặc đã quyết định gửi 100 ETH cho một trong những nạn nhân. Một người dùng bị mất tiền nói với hacker rằng anh ta là một người khiêm tốn và nếu anh ta từ chối phần thưởng do giao thức cung cấp, anh ta có thể mất tất cả tiền tiết kiệm cả đời.

Euler Finance mất 200 triệu đô la trong cuộc tấn công cho vay chớp nhoáng

Theo báo cáo gần đây khoai tây được mã hóaEuler Finance đã mất gần 200 triệu USD vào đầu tuần này sau khi một lỗi đã được ẩn giấu trong 8 tháng bị khai thác.

Theo một báo cáo hậu kỳ được công bố bởi công ty an ninh mạng Omniscia, đối tác kiểm toán của Euler Finance, cuộc tấn công bắt nguồn từ một lỗi trong cơ chế quyên góp của giao thức cho phép tin tặc tạo ra một vị thế có đòn bẩy quá mức, khi được thanh lý trong cùng một khối, sẽ đánh chìm nó một cách giả tạo, chia 200 đô la triệu thành DAI, USDC, WBTC và ETH.

Omniscia kết luận rằng cuộc tấn công là do cơ chế quyên góp không chính xác được giới thiệu trong bản cập nhật giao thức cuối cùng (eIP-14) mà họ chưa bao giờ phân tích.

“Chức năng EToken::donateToReserve quan trọng đối với lỗ hổng này không nằm trong phạm vi của bất kỳ cuộc kiểm toán nào do Omniscia thực hiện. Do đó, mã gây ra lỗ hổng không bao giờ nằm ​​trong phạm vi của bất kỳ cuộc kiểm toán nào do nhóm của chúng tôi thực hiện.”

Tại thời điểm này, không biết hacker có ý định trả lại ether còn lại cho giao thức hay không, để không bị hacker trắng đuổi giết. blockchain Theo dõi các công ty, thậm chí thực thi pháp luật.