CEO Euler Labs: «Нас взломали, несмотря на 10 проверок за 2 года»

Десять отдельных аудитов, проведенных за двухлетний период работы кредитного протокола на основе Ethereum, Euler Finance признали его «не имеющим нерешенных проблем» и обладающим «не более чем низким риском» до того, как он подвергся атаке на 196 миллионов долларов.

В серии твитов от 17 марта генеральный директор Euler Labs Майкл Бентли описал «самые тяжелые дни» своей жизни после атаки на Euler Finance. 13 марта неизвестный хакер применил эксплоит с использованием мгновенного кредита и вывел с платформы 196 миллионов долларов.

Бентли ретвитнул одного пользователя, поделившегося информацией о том, что у Euler было 10 аудитов от 6 разных фирм, и отметил, что платформа «всегда была проектом, ориентированным на безопасность».

«Euler всегда был проектом, ориентированным на безопасность. Смарт-контракты Euler, включая уязвимые строки кода, прошли аудит», – подчеркнул Майкл Бентли 16 марта 2023 г.

Фирмы безопасности блокчейна, включая Halborn, Solidified, ZK Labs, Certora, Sherlock и Omnisica, проводили аудит смарт-контрактов Euler Finance с мая 2021 по сентябрь 2022 года.

Halborn, к примеру, оценивает риски, измеряя «вероятность инцидента безопасности» и его влияние, при этом уровень риска может варьироваться от очень низкого и информационного до критического. И платформе Euler был присвоен уровень «не более, чем низкого риска».

В сводке аудита Halborn за декабрь 2022 года было показано, что он показал «в целом удовлетворительный результат».

В сводке говорится, что 23 смарт-контракта были «проверены и проанализированы» Halborn в течение одного месяца, из которых были выявлены только «два с низким уровнем риска и три информационных риска».

Euler заявила, что изучила отчет Halborn и пришла к выводу, что риски «не представляют серьезной угрозы».

Фирма Omnisica, занимающаяся безопасностью блокчейна, обратилась к некоторым «неправильным парадигмам» в реализации базового своппера Euler, а также к тому, как режим свопинга «обрабатывался кодовой базой», но заявил в отчете, что эти проблемы были «правильно решены» разработчиками Euler и «нерешенных вопросов не осталось».

В своей недавней ветке в Твиттере Бентли сказал, что никогда не «простит злоумышленника», поскольку он был вынужден «пожертвовать временем», которое мог провести со своим новорожденным сыном из-за атаки, но поблагодарил экспертов по безопасности, которые «работают над зацепками» для расследования.

Всего за 24 часа до объявления вознаграждения Euler выпустил предупреждение о том, что запустит программу поощрения, «которая приведет к вашему аресту и возврату всех средств», если 90% не будут возвращены в течение 24 часов.

Но 16 марта хакер протокола начал перевод средств через криптомиксер Tornado Cash. Таким образом он фактически отказался от награды и статуса «белого хакера» всего через несколько часов после того, как Euler объявил вознаграждение в размере 1 миллиона долларов за информацию, которая привела бы к аресту хакера.