多額資金流出のEuler Finance、最新情報が公開｜寄付機能が原因か

レンディングプロトコルEuler Financeで発生した攻撃について、Euler Labsが最新情報を公開しました。

An update on our work today to recover funds for Euler protocol users.

Here are a few actions we took immediately:

1. Stopped the direct attack as soon as possible by helping disable the EToken module, which blocked deposits and the vulnerable donation function

2. Engaged TRM… https://t.co/6ZClE9uGoH

— Euler Labs (@eulerfinance) March 14, 2023

同チームは直接的な攻撃を防ぐため脆弱性のある機能の無効化を実施。さらに、ChainalysisやETHセキュリティコミュニティによる調査や資金回収の協力要請や、米英の法執行機関への情報共有等を行ったとしています。

Euler Financeの監査を一部担当していたOmnisciaが公開した最新レポートによると、今回悪用されたEulerの脆弱性は、昨年7月のeIP-14で導入された寄付（donations）に関する機能に起因。

同社によるセキュリティ監査はChainlinkの統合に関する部分のみで、今回の問題の原因として挙げられているeIP-14で導入された変更に関しては関与していなかったとしています。

昨日3月13日の午後5時、セキュリティに関する追跡を行うPeckShieldがEuler Financeに対してAave V2で3000万DAIのフラッシュローンが取得されていることを示すトランザクションについて確認するよう注意喚起を実施しました。その後、1.97億ドル規模の不正資金流出が発覚しました。

We are aware and our team is currently working with security professionals and law enforcement. We will release further information as soon as we have it. https://t.co/bjm6xyYcxf

— Euler Labs (@eulerfinance) March 13, 2023

DeFiプロトコルBalancerでは、Eulerでのエクスプロイトが発生した後にsubDAOによりbbeUSD (Euler Boosted USD) と bbeUSD を含むすべてのプールの一時停止が実行され、現在は一部機能が回復しています。*詳細/最新情報は公式を要確認

Euler Labsは、100万ドルのバグ報奨金が設定されていたにも関わらず今回問題となった脆弱性は8ヶ月間オンチェーン状態であったと説明。セキュリティパートナーや法執行機関、コミュニティと協力して問題解決に努めるとコメントしています。

現在、Euler Financeの$EULは49%の価格下落を見せています。*CoinMarketCap参照

バグバウンティプラットフォームを提供するImmunefiが公開したレポートによると、昨年2022年に発生したハッキングや詐欺等でのWeb3分野での損失総額は39.4億ドル（約5260億円）。今回問題となったEuler FinanceのようなDeFiでの資金流出も昨年より継続的に発生しているため、今後も注意が必要となります。

記事ソース：Twitter、Medium、資料