বিকেন্দ্রীভূত অর্থায়ন (DeFi) ঋণ প্রটোকল অয়লার ফাইন্যান্স 13 মার্চ একটি ফ্ল্যাশ লোন আক্রমণের শিকার হয়, যার ফলে 2023 সালে সবচেয়ে বড় ক্রিপ্টো হ্যাক যতদূর. এই হামলার ফলে ঋণ প্রদানের প্রোটোকলের প্রায় 197 মিলিয়ন ডলার ক্ষতি হয়েছে এবং আরও বেশি ক্ষতিগ্রস্ত হয়েছে 11টি অন্যান্য DeFi প্রোটোকলও,
মার্চ 14-এ, অয়লার পরিস্থিতির একটি আপডেট নিয়ে এসেছেন এবং তার ব্যবহারকারীদের জানিয়েছিলেন যে তারা আমানত এবং দুর্বল দান ফাংশন ব্লক করার জন্য দুর্বল ইটোকেন মডিউল নিষ্ক্রিয় করেছেন।
ফার্মটি বলেছে যে তারা বিভিন্ন নিরাপত্তা গোষ্ঠীর সাথে এর প্রোটোকল অডিট করার জন্য কাজ করে এবং একটি বহিরাগত অডিটের সময় দুর্বল কোডটি পর্যালোচনা এবং অনুমোদিত হয়েছিল। নিরীক্ষার অংশ হিসাবে দুর্বলতা আবিষ্কৃত হয়নি।
আমাদের অডিট পার্টনারদের একজন, @Omniscia_sec, একটি প্রযুক্তিগত ময়নাতদন্ত প্রস্তুত করেছে এবং আক্রমণটি বিশদভাবে বিশ্লেষণ করেছে। আপনি এখানে তার প্রতিবেদন পড়তে পারেন:https://t.co/u4Z2xdutwe
সংক্ষেপে, আক্রমণকারী দুর্বল কোডের সুবিধা নিয়েছিল যা এটিকে একটি আনব্যাকড টোকেন ঋণ তৈরি করতে দেয়… https://t.co/FGnPqvYUGB
— অয়লার ল্যাবস (@eulerfinance) 14 মার্চ, 2023
সেই সময়ে $1 মিলিয়ন বাগ বাউন্টি থাকা সত্ত্বেও এটি শোষিত না হওয়া পর্যন্ত দুর্বলতাটি আট মাস ধরে অন-চেইন ছিল।
অডিট গ্রুপ শার্লক, যেটি আগে অয়লার ফাইন্যান্সের সাথে কাজ করেছিল, শোষণের মূল কারণ যাচাই করেছিল এবং অয়লারকে দাবি জমা দিতে সাহায্য করেছিল। অডিট প্রোটোকল পরবর্তীতে $4.5 মিলিয়ন দাবিতে ভোট দেয়, যা পাস হয়, এবং $3.3 মিলিয়ন পরবর্তীতে 14 মার্চ দেওয়া হয়।
তার বিশ্লেষণ প্রতিবেদনে, অডিট গ্রুপ বলেছে যে DoneToReserves(), EIP-14-এ যোগ করা একটি নতুন ফাংশন-এ স্বাস্থ্য পরীক্ষার অনুপস্থিতি শোষণের একটি প্রধান কারণ। যাইহোক, প্রোটোকল জোর দিয়েছিল যে আক্রমণটি প্রযুক্তিগতভাবে সম্ভব ছিল EIP-14 অস্তিত্বের আগেও।
সংযুক্ত: নিরাপত্তা সংস্থা সতর্ক করে যে 280 টিরও বেশি ব্লকচেইন ‘জিরো-ডে’ শোষণের ঝুঁকিতে রয়েছে
শার্লক নোট করেছেন যে 2022 সালের জুলাই মাসে WatchPug দ্বারা অয়লার অডিট সমালোচনামূলক দুর্বলতা মিস করেছিল যা শেষ পর্যন্ত মার্চ 2023 শোষণের দিকে পরিচালিত করেছিল।
একইভাবে, শার্লক প্রতিটি অডিটরদের পিছনে দাঁড়িয়েছেন যারা অয়লারের পর্যালোচনা করেছেন।
শার্লক প্রাথমিকভাবে কাজ করেছেন @cmichelio 2021 সালের ডিসেম্বরে অয়লারের প্রথম সংস্করণের অডিট করার জন্য, তারপরে @shw9453 জানুয়ারী 2022-এ একটি খুব ছোট আপডেট অডিট করতে এবং অবশেষে @WatchPug_ জুলাই 2022-এ EIP-14 অডিট করতে।
— শার্লক (@sherlockdefy) 13 মার্চ, 2023
অয়লার শীর্ষস্থানীয় অন-চেইন বিশ্লেষণাত্মক এবং ব্লকচেইন সুরক্ষা সংস্থাগুলির সাথে যোগাযোগ করেছেন, যেমন TRM ল্যাবস, চেইন্যালাইসিস এবং বৃহত্তর ETH নিরাপত্তা সম্প্রদায়, তাদের তদন্তে সহায়তা করতে এবং তহবিল পুনরুদ্ধার করতে।
অয়লার জানিয়েছিলেন যে তারা হামলার জন্য দায়ীদের সাথে যোগাযোগ করার চেষ্টা করছেন সমস্যাটি সম্পর্কে আরও জানতে এবং সম্ভবত চুরি হওয়া তহবিল পুনরুদ্ধারের জন্য একটি পুরষ্কার নিয়ে আলোচনার জন্য।