Euler потратил $4 млн на безопасность и получил 29 аудиторских отчетов

Криптовалютная кредитная платформа Euler Finance объявила о результатах 29 аудиторских отчетов от 12 различных фирм по кибербезопасности относительно перезапуска ее «v2». Согласно объявлению, отчеты показывают, что все проблемы безопасности были устранены. Протокол также провел публичную выплату вознаграждения за обнаружение ошибок в размере $1,25 млн после аудита, в результате которой не было обнаружено никаких проблем средней или высокой степени серьезности.

Аудиты Euler v2. Источник: Euler

В общей сложности более $4 млн было потрачено на укрепление безопасности Euler в преддверии перезапуска, говорится в объявлении.

Предыдущая версия Euler 13 марта 2023 года подверглась эксплоиту на 195 миллионов долларов в ходе атаки с использованием мгновенного кредита. Впоследствии злоумышленник вернул все средства.

Согласно объявлению, новая версия Euler «прошла один из самых дорогостоящих и всеобъемлющих процессов обеспечения безопасности среди всех протоколов DeFi на сегодняшний день».

Децентрализованная автономная организация EulerDAO выделила более 11 миллионов долларов команде разработчиков для создания v2, более 4 миллионов долларов из которых ушли на безопасность. На эти средства безопасности команда наняла новых сотрудников, которым было поручено привести протокол в соответствие со стандартами ISO27001, используемыми банками и оборонными компаниями.

Для поиска векторов атак и проверки безопасности Euler v2 были привлечены различные внешние эксперты. В число этих экспертов вошли два инженера по безопасности из компании по безопасности Web3 Certora, соучредитель Yield Protocol Альберто Куэста Каньяда и исследователи безопасности Spearbit Cmichel и StErMi, среди прочих.

После завершения написания кода команда наняла 12 фирм по кибербезопасности для аудита каждого из модулей Euler, и на данный момент было проведено в общей сложности 29 аудитов.

В число аудиторов вошли Spearbit, Certora, Hunter Security, Trail of Bits, Zellic, OpenZeppelin, Chain Security, Hunter Security, Omniscia, yAudit, Ruptura и другие. Аудиторы обнаружили две критические проблемы и пять уязвимостей высокой степени серьезности, все из которых впоследствии были устранены.

Аудиторские фирмы Euler v2. Источник: Euler.

Когда сторонние аудиты были завершены, команда запустила конкурс вознаграждений за ошибки на сумму 1,25 миллиона долларов, чтобы помочь определить, пропустили ли аудиторы какие-либо уязвимости. Участники конкурса вознаграждений за ошибки не смогли найти никаких критических, высоких или средних недостатков. Команда выделила в общей сложности 200 000 долларов участникам, которые нашли уязвимости низкой степени серьезности.

В дополнение к этим улучшениям безопасности, v2 предоставит новые функции, такие как настраиваемые хранилища, синтетические активы и механизм аукциона комиссий, согласно сообщению в блоге, опубликованному командой 22 февраля.

Оригинальная версия Euler была взломана с помощью атаки с мгновенным кредитованием в марте 2023 года. Злоумышленник использовал два отдельных аккаунта. Первый аккаунт заимствовал данные из протокола, а затем использовал функцию «пожертвования», чтобы заставить себя выйти из дефолта.

После того, как он оказался в дефолте, второй аккаунт злоумышленника ликвидировал первый. Благодаря щедрым скидкам, предоставленным ликвидаторам в Euler v1, злоумышленник смог получить большую стоимость активов на втором аккаунте, чем он потерял на первом, что позволило ему получить прибыль более 195 миллионов долларов.

После атаки злоумышленник вернул все украденные средства всего через 23 дня. Атака Euler стала крупнейшей в 2023 году атакой на протокол децентрализованного финансирования.