Euler Finance-ийн гэнэтийн зээлийн мөлжлөгийг нас барсны дараах шинжилгээгээр мөлжлөгийн үндэс болсон эмзэг байдал нь 8 сарын турш гинжин хэлхээнд байсаар байсныг илрүүлсэн.
Эмзэг байдлын үр дүнд Euler Finance энэ долоо хоногийн эхээр 200 сая доллар алджээ.
Найман сартай эмзэг байдал
Euler Finance-ийн аудитын түнш Omniscia долоо хоногийн эхээр хакеруудын ашиглаж байсан эмзэг байдалд дүн шинжилгээ хийсэн нарийвчилсан үхлийн дараах тайланг гаргажээ. Нас барсны дараах тайланд дурдсанаар эмзэг байдал нь төвлөрсөн бус санхүүгийн протоколын буруу хандивын механизмаас үүдэлтэй бөгөөд энэ нь эрүүл мэндийн зохих хяналтгүйгээр хандив өгөхийг зөвшөөрсөн юм. Энэхүү кодыг eIP-14 протоколд нэвтрүүлсэн бөгөөд энэ нь Эйлер Санхүүгийн экосистемд олон тооны өөрчлөлтүүдийг оруулсан болно.
Euler Finance нь хэрэглэгчдэд ижил гүйлгээнд хөрөнгө оруулах, байршуулах замаар хиймэл хөшүүргийг бий болгох боломжийг олгодог. Энэхүү механизм нь хэрэглэгчдэд Эйлер Финансын барьцаанаас илүү олон жетон гаргах боломжийг олгосон. Шинэ механизм нь хэрэглэгчид өөрсдийн үлдэгдлийг гүйлгээ хийсэн жетоны нөөцийн үлдэгдэлд хандивлах боломжийг олгосон. Гэсэн хэдий ч хандивын дансанд ямар ч төрлийн эрүүл мэндийн үзлэг хийж чадаагүй.
Эмзэг байдлыг хэрхэн ашигласан
Хандив нь хэрэглэгчийн өр (DToken) өөрчлөгдөхгүй хэвээр үлдэхэд хүргэсэн. Гэсэн хэдий ч тэдний өмчийн (EToken) үлдэгдэл буурах болно. Энэ үед хэрэглэгчийн дансыг татан буулгаснаар Dtokens-ийн тодорхой хэсэг үлдэж, найдваргүй өр үүсэхэд хүргэнэ. Энэ дутагдал нь халдагчид хэт их хөшүүрэгтэй байрлалыг бий болгож, дараа нь түүнийг зохиомлоор "усан доор" оруулах замаар нэг блок дотор өөрөө устгах боломжийг олгосон.
Хакер өөрөө татан буугдах үед хувь дээр суурилсан хөнгөлөлт үзүүлж, татан буулгагч EToken нэгжийн нэлээд хэсгийг хөнгөлөлттэй үнээр төлж, "усны дээгүүр" байх баталгааг бий болгож, авсан барьцаа хөрөнгөтэй тэнцэх хэмжээний өрийг бий болгодог. Энэ нь муу өртэй зөрчил гаргагч (DTokens) болон өрийг хэт барьцаалсан татан буулгагчийг бий болгоно.
Эмзэг байдлын үндэс болсон шинж чанар нь пүүсийн хийсэн аливаа аудитын хүрээнд ороогүй гэж Omniscia мэдэгдэв. Шинжилгээний дагуу гуравдагч этгээдийн аудит нь тухайн кодыг хянан шалгах үүрэгтэй бөгөөд дараа нь батлагдсан. donateToReserves функцийг Шерлокийн баг 2022 оны XNUMX-р сард аудит хийсэн. Эйлер, Шерлок нар мөн мөлжлөг тохиолдоход Шерлоктой идэвхтэй хамрах бодлого явуулж байсныг баталжээ.
Эйлер Санхүү Аюулгүй байдлын бүлгүүдтэй хамтран ажилладаг
Ашиглалтын дараа, Эйлер санхүү Протокол нь бусад аюулгүй байдлын бүлгүүдтэй хамтран нэмэлт шалгалт хийхээр ажиллаж байна гэж мэдэгдэв. Үүнээс гадна хулгайлагдсан мөнгөө эргүүлэн авахаар хууль сахиулах байгууллага, байгууллагуудтай холбоо барина гэдгээ мэдэгдэв.
“Бид Эйлер протоколын хэрэглэгчдэд хийсэн энэхүү халдлагын үр дагаварт сэтгэлээр унасан бөгөөд үүнийг аль болох шийдвэрлэхийн тулд аюулгүй байдлын түншүүд, хууль сахиулах байгууллага болон өргөн хүрээний олон нийттэй үргэлжлүүлэн хамтран ажиллах болно. Таныг дэмжиж, урам зориг өгсөнд маш их баярлалаа."
Анхааруулга: Энэ нийтлэлийг зөвхөн мэдээллийн зорилгоор оруулсан болно. Энэ нь хууль эрх зүй, татвар, хөрөнгө оруулалт, санхүүгийн болон бусад зөвлөгөө өгөх зорилгоор ашиглагдаагүй эсвэл ашиглахыг зорьсонгүй.
Эх сурвалж: https://cryptodaily.co.uk/2023/03/euler-finance-hack-postmortem-reveals-8-month-old-vulnerability