DeFi Euler sufre un fraude de 200 millones de dólares
índice
Euler, un protocolo de préstamo que contaba con más de 400 millones de dólares en activos de clientes hasta el día anterior, fue el objetivo de un ataque que provocó pérdidas por valor de unos 200 millones de dólares en lo que podría convertirse en el hackeo de DeFi más importante de 2023.
El pirata informático se hizo con unos 136 millones de dólares en stETH, 34 millones en USDC, 18,5 millones en WBTC y 8,8 millones en DAI.
El hackeo redujo el valor del token de gobernanza EUL a la mitad.
Junto con TRM Labs, Chainalysis y otros miembros de la comunidad de seguridad de Ethereum, el equipo de Euler está investigando los fondos desaparecidos. Tanto las autoridades británicas como las estadounidenses fueron notificadas.
El TVL de Euler supera los 10 millones de dólares.
Vulnerabilidad
El ataque hizo uso de una técnica de contrato inteligente conocida como «donateToReserve», que se desarrolló hace aproximadamente ocho meses para permitir a los usuarios contribuir con cantidades insignificantes a la reserva del protocolo.
Existen dos tipos diferentes de tokens que Euler utiliza para realizar un seguimiento de los saldos de los usuarios. Los eTokens son activos que pueden utilizarse como garantía, mientras que los dTokens representan las deudas de los usuarios.
Cuando el saldo de dToken de un usuario es superior a su saldo de eToken, el protocolo ofrece un descuento a los liquidadores que estén dispuestos a liquidar posiciones apalancadas. Esto se hace para que el sistema pueda seguir funcionando sin interrupciones.
Omniscia, uno de los auditores de Euler, descubrió en una autopsia que la función de donación no incluye una «comprobación de salud» que garantice que el usuario cuenta con las garantías adecuadas tras realizar una aportación. Esta fue una de las conclusiones de la investigación.
¿Bitcoin tendrá una carrera alcista a causa de los reguladores?
Así pues, el adversario consiguió poner el sistema de rodillas y liquidarlo utilizando otro contrato malicioso.
Peckshield demostró la técnica utilizando el mercado DAI de Euler, que le reportó unos beneficios de 8,8 millones de dólares.
El bajo nivel de colateralización que tenía la cuenta tras la donación llevó a la decisión de fijar la tasa de conversión en el 25%.
El hacker utilizó el mismo método para robar 197 millones de dólares de los mercados stETH, WBTC y USDC.
ZachXBT, un experto en on-chain, descubrió que la misma dirección había hackeado previamente un protocolo DeFI de BNB Smart Chain por 346.000 dólares y utilizó el mezclador de privacidad Tornado Cash para blanquear esos fondos. El descubrimiento fue realizado por ZachXBT.
Préstamos instantáneos
El préstamo rápido ofrecido por DeFi permite a los clientes pedir prestadas importantes sumas sin aportar garantías. En el plazo especificado en el bloque Ethereum, el préstamo debe devolverse.
Las estafas de préstamos instantáneos son un problema persistente en DeFi. En octubre de 2021, Cream Finance se vio implicada en una estafa de préstamos flash por valor de 130 millones de dólares.
En el transcurso del año anterior, los hacks hicieron que las plataformas DeFi perdieran 3.200 millones de dólares.
Las cripto suben a pesar que First Republic Bank se desplomó
¿El ecosistema DeFi cae?
Euler está fuertemente imbricada en el ecosistema DeFi debido a la reputación que se ha ganado y a los incentivos de liquidez que ofrece. Muchos protocolos se vieron comprometidos como consecuencia de la vulnerabilidad; estos protocolos depositaban dinero en Euler o estaban expuestos indirectamente.
Intercambio no centralizado Según el anuncio realizado por Balancer, su subDAO de emergencia ha detenido todos los pools de liquidez que incluyen Euler-boosted USD (bbeUSD) y lo ha puesto en modo de recuperación.
El equilibrador afirma que ya no hay pérdidas. Los LP de bbeUSD podrán cerrar sus posiciones después de que el equipo de Euler haya proporcionado aclaraciones.
El emisor de la stablecoin euro-pegada agEUR, Angle Protocol, ha publicado un post-mortem en el que afirma que la empresa estaba expuesta a 17,6 millones de USDC.
Tras revisar el contrato inteligente, Sherlock dio su visto bueno a una reclamación de seguro de 4,5 millones de dólares.
Forma parte de estos grupos: