Euler Finance Hacker rejette une offre de 20 millions de dollars et mélange 1 000 ETH dans Tornado Cash

Le 16 mars, le piratage de 200 millions de dollars du protocole de prêt d'Euler Finance a pris une tournure inattendue lorsque l'auteur a apparemment rejeté l'offre de 20 millions de dollars en mélangeant 1 000 ETH (d'une valeur de 1,65 million de dollars) via Tornado Cash.

Selon PeckShield, l'attaquant a effectué dix transactions en Tornado Cash. Dans chacun, ils ont envoyé 100 ETH à une adresse intermédiaire. En conséquence, le pirate a maintenant masqué 1 000 ETH dans Tornado Cash et dispose de 1 500 ETH dans l'adresse utilisée pour mener l'attaque, ce qui rend beaucoup plus difficile pour Euler Finance (et les forces de l'ordre) de retracer l'IRL.

20 millions de dollars ne suffisaient pas

Le 15 mars, Euler Finance a proposé publiquement à l'attaquant un accord dans lequel il pourrait conserver 10 % des 200 millions de dollars volés s'il rendait le reste. Refuser de le faire aboutirait à ce qu'Euler Finance offre une récompense de 1 million de dollars à quiconque fournirait des informations menant à leur capture.

Mais selon On-Chain Data , le pirate n'a pas dérangé les suggestions d'Euler Finance et a plutôt mélangé les crypto-monnaies dans Tornado Cash quelques heures seulement après que la proposition a été rendue publique.

Transactions d'EulerFinance Hackervers Tornado Cash
Image : Etherscan

Mais ce n'était pas que de mauvaises nouvelles; le pirate a décidé d'envoyer 100 ETH à l'une des victimes après leurs supplications. L'un des utilisateurs qui a perdu ses fonds a déclaré au pirate qu'il était une personne humble qui pourrait perdre toutes ses économies s'il refusait la récompense offerte par le protocole.

Euler Finance a perdu 200 millions de dollars dans un piratage de prêt flash

Comme CryptoPotato l'a récemment rapporté , Euler Finance a perdu près de 200 millions de dollars plus tôt dans la semaine après l'exploitation d'une vulnérabilité cachée pendant huit mois.

Selon le rapport post-mortem publié par la société de cybersécurité Omniscia, partenaire d'audit d'Euler Finance, l'attaque provenait d'une vulnérabilité dans le mécanisme de don du protocole qui a permis au pirate de créer une position surendettée qui, une fois liquidée dans le même bloc, l'a artificiellement coulé. , en gardant 200 millions de dollars répartis entre DAI, USDC, WBTC et ETH.

Omniscia a conclu que l'attaque résultait d'un mécanisme de don défectueux introduit dans la dernière mise à jour du protocole ( eIP-14 ), sur lequel ils n'ont jamais enquêté.

"La fonctionnalité EToken :: donateToReserve qui est au cœur de cette vulnérabilité n'était pas couverte par tout audit mené par Omniscia. Par conséquent, le code à l'origine de la vulnérabilité n'a jamais fait l'objet d'un audit effectué par notre équipe."

À ce stade, on ne sait pas si le pirate a l'intention de renvoyer l'éther restant au protocole pour éviter d'être traqué par des pirates blancs, des sociétés de suivi de la blockchain et même des forces de l'ordre.

Post Euler Finance Hacker rejette une offre de 20 millions de dollars et mélange 1 000 ETH dans Tornado Cash Apparu en premier sur CryptoPotato .