Euler Finance Hacker отклоняет предложение на 20 миллионов долларов и примеряет 1000 ETH с Tornado Cash

16 марта взлом кредитного банка безопасности Euler Finance на 200 миллионов долларов принял неожиданный оборот, когда преступник, по-видимому, отклонил предложение о 20 миллионах долларов, смешав 1000 ETH (стоимостью 1,65 миллионов долларов) через Tornado Cash.

По данным PeckShield, проведено десять транзакций в Tornado Cash. В каждом из них они отправили 100 ETH на промежуточный адрес. В результате хакер запутал 1000 ETH в Tornado Cash и имеет 1500 ETH на адресе, использованном для проведения атаки, что усложняет для Euler Finance (и чувствительных органов) отслеживание IRL.

#PeckShieldAlert @eulerfinance exploiter on the move
~1,000 $ETH into Tornado Cash through intermediary address 0xc66d…c9ahttps://t.co/LAkY66YpoF pic.twitter.com/0XhQV1nbgn

— PeckShieldAlert (@PeckShieldAlert) March 16, 2023

20 миллионов долларов было недостаточно

15 марта Euler Finance публично предложила принять предложение, по которому они могли бы оставить себе 10% от украденных 200 миллионов долларов, если бы они вернули остальное. Отказ сделал эту сессию к тому, что Euler Finance предложил вознаграждение в размере 1 миллиона долларов, кто пообщался с общественностью, которая привела к их поимке.

Но, согласно данным в сети, хакеру было все равно предложено Euler Finance, а вместо этого он смешал криптовалюты с Tornado Cash всего через несколько часов после того, как предложение было обнародовано.

Изображение: Этерскан

Но это были не все плохие новости; хакер решил отправить 100 ETH одной из жертв после их просьбы. Один из пользователей, потерявших свои средства, сказал хакеру, что он скромный человек, который может потерять все сбережения своей жизни, если откажется от вознаграждения, предлагаемого протоколом.

WOW!@eulerfinance Exploiter returned 100 $ETH to some guy who begged him for the money back as it was his life savingshttps://t.co/Gz9aCUZB0H pic.twitter.com/DhZBenqtuS

— Wazz (@WazzCrypto) March 16, 2023

Euler Finance потерял 200 миллионов долларов из-за возврата кредитной атаки

Как недавно сообщил CryptoPotato , Euler Finance потерял почти 200 миллионов долларов в начале недели после эксплуатации уязвимости, которая оставалась скрытой в течение восьми месяцев.

Согласно отчету о вскрытии, опубликованному фирмой по кибербезопасности Omniscia, аудиторским партнером Euler Finance, атаки, возникшие из-за уязвимости в механизме пожертвования, выявили хакерское обнаружение с чрезмерным кредитным плечом, которое при сбросе в том же блоке искусственно вызвало его удаление, разделение 200 миллионов долларов на DAI, USDC, WBTC и ETH.

Omniscia пришла к выводу, что атаки возникают из-за неправильного механизма пожертвования, представленного в последнем обновлении протокола (eIP-14), который они никогда не анализировали.

«Функция EToken::donateToReserve, которая лежит в основе этой уязвимости, не входит в рамки какого-либо аудита, проведенного Omniscia. Таким образом, код, выявляющий уязвимость, никогда не входил в рамки аудита, проводимого нашей командой».

По данному моменту неизвестно, намерен ли хакер вернуть оставшийся эфир в протоколе, чтобы избежать исключения со стороны белых хакеров, компаний, занимающихся отслеживанием признаков, и даже органов желудочно-кишечного тракта.