Euler Finance 黑客拒绝 2000 万美元的报价，将 1,000 ETH 混入 Tornado Cash

3 月 16 日，针对 Euler Finance 借贷协议的 2 亿美元黑客攻击出现了意想不到的转折，因为犯罪者通过 Tornado Cash 混合 1,000 ETH（价值 165 万美元）显然拒绝了 2000 万美元的提议。

根据 PeckShield，攻击者用 Tornado Cash 进行了十笔交易。在每一个中，他们将 100 ETH 发送到一个中间地址。结果，黑客现在混淆了 Tornado Cash 中的 1,000 ETH，并在用于执行攻击的地址中拥有 1,500 ETH——这使得 Euler Finance（和执法机构）追踪 IRL 变得极其困难。

#PeckShieldAlert @eulerfinance 剥削者在行动
~1,000 $ETH 通过中介地址 0xc66d…c9a 进入 Tornado Cash https://t.co/LAkY66YpoF pic.twitter.com/0XhQV1nbgn

— PeckShieldAlert (@PeckShieldAlert) 2023 年 3 月 16 日

2000 万美元不够

3 月 15 日，Euler Finance 公开向攻击者提出一项交易，如果攻击者归还其余部分，他们可以保留被盗 2 亿美元中的 10%。拒绝这样做最终会导致 Euler Finance 悬赏 100 万美元，奖励任何提供导致他们被捕的信息的人。

但根据链上数据，黑客并没有理会 Euler Finance 的建议，而是在建议公开后仅几个小时就将加密货币混入了 Tornado Cash。

图片：Etherscan

但这也不全是坏消息；在他们的请求下，黑客决定向其中一名受害者发送 100 ETH。一位损失资金的用户告诉黑客，他是一个谦虚的人，如果拒绝协议提供的奖励，他可能会失去一生的所有积蓄。

哇！@eulerfinance Exploiter 将 100 美元 ETH 返还给了一个乞求他还钱的人，因为这是他一生的积蓄https://t.co/Gz9aCUZB0H pic.twitter。 com/DhZBenqtuS

— Wazz (@WazzCrypto) 2023 年 3 月 16 日

Euler Finance 因闪贷攻击损失 2 亿美元

CryptoPotato 最近报道，由于一个隐藏了八个月的漏洞被利用，Euler Finance 在本周初损失了近 2 亿美元。

根据 Euler Finance 的审计合作伙伴网络安全公司 Omniscia 发布的事后分析报告，此次攻击源于协议捐赠机制中的一个漏洞，该漏洞允许黑客创建一个过度杠杆化的头寸，当在同一个区块，人为地让它下沉，将 2 亿美元分成 DAI、USDC、WBTC 和 ETH。

Omniscia 得出结论认为，这次攻击是由上次协议更新 (eIP-14) 中引入的错误捐赠机制引起的，他们从未对此进行过分析。

“作为此漏洞关键的 EToken::donateToReserve 功能不在 Omniscia 进行的任何审计范围内。因此，导致漏洞的代码从未在我们团队进行的任何审计范围内。”

至此，未知黑客是否打算将剩余的以太币返还给协议，以避免被白黑客、区块链溯源公司甚至执法部门追捕。

Euler Finance Hacker Rejects $20M Offer, Mixes 1,000 ETH in Tornado Cash 的帖子首先出现在 CryptoPotato 上。