ტექნიკური

Euler Finance Hack Postmortem ავლენს 8 თვის დაუცველობას

03/15/2023
Bitcoin Ethereum News

Euler Finance-ის სწრაფი სესხის ექსპლოიტის შემდგომმა მოკვლამ აჩვენა, რომ ექსპლოიტის ძირში მოწყვლადობა ჯაჭვში დარჩა 8 თვის განმავლობაში. 

დაუცველობის შედეგად, Euler Finance-მა დაკარგა $200 მილიონი ამ კვირის დასაწყისში. 

Image

რვა თვის დაუცველობა 

Euler Finance-ის აუდიტორულმა პარტნიორმა Omniscia-მ გამოაქვეყნა დეტალური მოკვლის დასკვნა, რომელიც აანალიზებს დაუცველობას, რომელიც ჰაკერებმა გამოიყენეს კვირის დასაწყისში. სიკვდილის შემდგომი დასკვნის მიხედვით, დაუცველობა წარმოიშვა დეცენტრალიზებული საფინანსო პროტოკოლის არასწორი შემოწირულობის მექანიზმის გამო, რომელიც ნებადართული იყო შემოწირულობების ჩატარება ჯანმრთელობის სათანადო შემოწმების გარეშე. კოდი დაინერგა eIP-14-ში, პროტოკოლში, რომელმაც შემოიღო ცვლილებები Euler Finance-ის ეკოსისტემაში. 

Euler Finance მომხმარებლებს საშუალებას აძლევს შექმნან ხელოვნური ბერკეტები იმავე ტრანზაქციაში აქტივების მოჭრისა და დეპონირების გზით. ეს მექანიზმი მომხმარებლებს საშუალებას აძლევდა მოეპოვებინათ მეტი ჟეტონები, ვიდრე თავად Euler Finance-ის მფლობელობაში არსებული გირაო. ახალმა მექანიზმმა მომხმარებლებს საშუალება მისცა შეეწირათ თავიანთი ბალანსი იმ ტოკენის სარეზერვო ბალანსზე, რომლითაც ისინი ახორციელებდნენ ტრანზაქციას. თუმცა, მან ვერ შეძლო რაიმე სახის ჯანმრთელობის შემოწმება დონაციის შემსრულებელ ანგარიშზე. 

როგორ იქნა გამოყენებული დაუცველობა 

შემოწირულობა გამოიწვევდა მომხმარებლის დავალიანებას (DToken) უცვლელად. თუმცა, მათი კაპიტალის (EToken) ბალანსი შემცირდება. ამ ეტაპზე, მომხმარებლის ანგარიშის ლიკვიდაცია გამოიწვევს Dtokens-ის ნაწილის დარჩენას, რაც გამოიწვევს ცუდი ვალის შექმნას. ამ ხარვეზმა საშუალება მისცა თავდამსხმელს შეექმნა ზედმეტად ბერკეტიანი პოზიცია და შემდეგ თავად მოეხდინა მისი ლიკვიდაცია იმავე ბლოკში ხელოვნურად „წყლის ქვეშ“ გადასვლის გზით.

როდესაც ჰაკერი თავს ლიკვიდირებს, მოქმედებს პროცენტზე დაფუძნებული ფასდაკლება, რაც იწვევს ლიკვიდატორს ფასდაკლებით ეკისრება EToken-ის ერთეულების მნიშვნელოვან ნაწილს და გარანტიას იძლევა, რომ ისინი იქნებიან „წყალზე მაღლა“, დაკისრებენ ვალს, რომელიც ემთხვევა შეძენილ უზრუნველყოფას. ეს გამოიწვევს უიმედო დავალიანების მქონე დამრღვევს (DTokens) და ლიკვიდატორს, რომელსაც აქვს მათი დავალიანების ზედმეტად უზრუნველყოფა. 

Omniscia-მ განაცხადა, რომ თვისება, რომელიც დაუცველობის გულში მდგომარეობდა, არ იყო ფირმის მიერ ჩატარებული აუდიტის ფარგლებში. ანალიზის მიხედვით, აღნიშნული კოდექსის განხილვაზე პასუხისმგებელი იყო მესამე მხარის აუდიტი, რომელიც შემდეგ დამტკიცდა. donateToReserves ფუნქცია აუდიტი ჩაუტარდა 2022 წლის ივლისში შერლოკის გუნდის მიერ. ეილერმა და შერლოკმა ასევე დაადასტურეს, რომ პირველს ჰქონდა აქტიური დაფარვის პოლიტიკა შერლოკთან, როდესაც მოხდა ექსპლოიტი. 

Euler Finance მუშაობს უსაფრთხოების ჯგუფებთან 

ექსპლუატაციის შემდეგ, ეილერ ფინანსი განაცხადა, რომ პროტოკოლი მუშაობდა უსაფრთხოების სხვა ჯგუფებთან შემდგომი აუდიტის ჩასატარებლად. გარდა ამისა, მან განაცხადა, რომ იგი ასევე დაუკავშირდა სამართალდამცავ ორგანოებს და სააგენტოებს მოპარული თანხების აღდგენის მიზნით. 

„ჩვენ განადგურებულნი ვართ ამ თავდასხმის ეფექტით ეილერის პროტოკოლის მომხმარებლებზე და გავაგრძელებთ მუშაობას ჩვენს უსაფრთხოების პარტნიორებთან, სამართალდამცავ ორგანოებთან და ფართო საზოგადოებასთან, რათა მაქსიმალურად მოვაგვაროთ ეს. დიდი მადლობა თქვენი მხარდაჭერისა და წახალისებისთვის.”

უარი პასუხისმგებლობაზე: ეს სტატია მოწოდებულია მხოლოდ ინფორმაციული მიზნებისთვის. ის არ არის შემოთავაზებული ან მიზნად ისახავს გამოყენებას იურიდიულ, საგადასახადო, საინვესტიციო, ფინანსურ ან სხვა რჩევად.

წყარო: https://cryptodaily.co.uk/2023/03/euler-finance-hack-postmortem-reveals-8-month-old-vulnerability