-
Todavía no se identificó al hacker ni se anunció qué pasará con los fondos de los usuarios.
-
La investigación continúa y Euler Labs prometió dar más información pronto.
l protocolo de finanzas descentralizadas Euler Finance sufrió un hackeo que le hizo perder más de USD 197 millones. El atacante robo fondos en diversas criptomonedas, como el token de staking de ether en Lido stETH, el token de bitcoin Wrapped BTC (wBTC) y las stablecoins USD Coin (USDC) y DAI.
Como consecuencia de este hecho, Euler Finance detuvo las operaciones con EToken, uno de los tokens que se utiliza en la plataforma. Precisamente, el atacante aprovechó una actualización que regula el funcionamiento de ese token, la eIP14, de julio de 2022.
“La vulnerabilidad estuvo on-chain durante ocho meses hasta que ha sido explotada hoy”, dice el comunicado, que no expresa nada en relación con los fondos de los usuarios del protocolo.
Euler Labs, compañía detrás de Euler Finance, anunció que solicitó ayuda en la investigación a TRM Labs, Chainalysis y “a la comunidad de Ethereum” para identificar al hacker. Las autoridades británicas y estadounidenses también fueron notificadas sobre el caso, expresó la empresa, que se comprometió a brindar más información “pronto”.
El desglose de los fondos robados indica que el atacante se hizo con 85.818 stETH, 34,5 millones de USDC, 849 wBTC y 8,9 millones de DAI. Los movimientos del hacker para perpetrar su golpe a Euler Finance incluyeron préstamos de 30 millones de DAI en las DeFi Aave y Balancer, que a su vez fueron usados para solicitar más préstamos en Euler Finance.
Como se ha reportado en CriptoNoticias, en los últimos años los protocolos DeFi han sido víctimas de robos multimillonarios. Mayormente, estos tienen su origen en fallas de seguridad en sus códigos.
Comparado con los principales hackeos ocurridos durante 2022, este de Euler Finance solo es superado por tres episodios del año pasado. Hablamos de los hackeos a BSC Token Hub (USD 569 millones; a la red Ronin, del juego Axie Infinity (USD 540 millones); y al puente de Solana Wormhole (USD 340 millones).
Detalles de la vulnerabilidad que aprovechó el hacker
De acuerdo con un informe publicado por la consultora de seguridad Omniscia, socia de Euler Labs, el atacante aprovechó un error en el código que permitía hacer donaciones sin verificar el estado de cuenta del usuario. Es decir, se podía enviar dinero bajo ese concepto sin tener respaldo para ello.
Aunque el protocolo de Euler Finance tiene un mecanismo de liquidación de las criptomonedas que el usuario usa como colateral (garantía) al solicitar una deuda, esto difiere en el caso de las donaciones. En ese caso, el código “permite al usuario crear una ‘deuda incobrable’ en forma de apalancamiento no garantizado mediante la donación de sus unidades EToken, sin que ello afecte a su saldo DToken”, explica el comunicado.
La falla da lugar a que el usuario ejecute una estrategia que demanda la creación de dos contratos inteligentes y la realización de varios movimientos que llevan, en resumen, a que pueda liquidar él mismo su deuda, pero con un descuento. En este caso, explican los analistas de Omniscia, el hacker aplicó el descuento máximo, que es de 20%.
