A plataforma de empréstimos cripto Euler Finance anunciou os resultados de 29 relatórios de auditoria de 12 diferentes empresas de cibersegurança em relação ao seu relançamento "v2". De acordo com o anúncio, os relatórios mostram que todas as questões de segurança foram resolvidas. O protocolo também realizou um programa público de recompensas por bugs no valor de US$ 1,2 milhão após as auditorias, que não resultou na identificação de problemas de gravidade média ou superior.
No total, mais de US$ 4 milhões foram gastos para reforçar a segurança da Euler em antecipação ao relançamento, segundo o anúncio.
A versão anterior da Euler foi explorada em um ataque de empréstimo relâmpago que resultou em uma perda de US$ 195 milhões em 13 de março de 2023. O invasor posteriormente devolveu todos os fundos.
De acordo com o anúncio, a nova versão da Euler "passou por um dos processos de segurança mais caros e abrangentes de qualquer protocolo DeFi até hoje". A organização autônoma descentralizada da Euler, a EulerDAO, destinou mais de US$ 11 milhões à equipe de desenvolvimento para criar a v2, dos quais mais de US$ 4 milhões foram direcionados para a segurança. Com esses fundos de segurança, a equipe contratou novos funcionários encarregados de garantir que o protocolo aderisse aos padrões ISO27001 usados por bancos e empresas de defesa.
Vários especialistas externos foram trazidos para elaborar vetores de ataque e desafiar a segurança da Euler v2. Esses especialistas incluíram dois engenheiros de segurança da empresa de segurança Web3 Certora, o cofundador do protocolo Yield, Alberto Cuesta Cañada, e os pesquisadores de segurança da Spearbit, Cmichel e StErMi, entre outros.
Uma vez que o código foi concluído, a equipe contratou 12 empresas de cibersegurança para auditar cada um dos módulos da Euler, e um total de 29 auditorias foram concluídas até agora. Os auditores incluíram Spearbit, Certora, Hunter Security, Trail of Bits, Zellic, OpenZeppelin, Chain Security, Hunter Security, Omniscia, yAudit, Ruptura e outros. Os auditores encontraram duas vulnerabilidades de gravidade crítica e cinco de alta gravidade, todas as quais foram posteriormente resolvidas.
Quando essas auditorias de terceiros foram concluídas, a equipe lançou um concurso de recompensas por bugs no valor de US$ 1,25 milhão para ajudar a determinar se os auditores haviam deixado passar alguma vulnerabilidade. Os participantes do programa de recompensas não conseguiram encontrar falhas de gravidade crítica, alta ou média. A equipe concedeu um total de US$ 200.000 aos participantes que encontraram vulnerabilidades de baixa gravidade.
De acordo com uma postagem no blog da equipe em 22 de fevereiro, além dessas melhorias de segurança, a v2 oferecerá novos recursos, como cofres personalizáveis, ativos sintéticos e um mecanismo de leilão de taxas.
A versão original da Euler foi explorada por meio de um ataque de empréstimo relâmpago em março de 2023. O invasor usou duas contas separadas. A primeira conta pegou emprestado do protocolo e, em seguida, usou uma função de 'doação' para forçar o próprio default. Uma vez em default, a segunda conta do invasor liquidou a primeira. Devido aos generosos descontos oferecidos aos liquidadores na Euler v1, o invasor conseguiu obter um valor maior de ativos na segunda conta do que perdeu na primeira, permitindo-lhe lucrar mais de US$ 195 milhões.
O explorador devolveu todos os fundos roubados 23 dias após o ataque. O ataque à Euler foi a maior exploração DeFi em 2023.