Euler Finance Hack Postmortem 8 айлық осалдықты көрсетеді

Euler Finance-тің жедел несиелік эксплуатациясының өлімінен кейінгі сараптама эксплуатацияның түпкі осалдығы 8 ай бойы тізбекте қалғанын анықтады. 

Осалдықтың салдарынан Euler Finance осы аптаның басында 200 миллион доллар жоғалтты. 

Сегіз айлық осалдық 

Euler Finance аудиторлық серіктесі Omniscia аптаның басында хакерлер пайдаланған осалдықты талдайтын егжей-тегжейлі өлімнен кейінгі есепті шығарды. Өлімнен кейінгі есепке сәйкес, осалдық орталықтандырылмаған қаржы хаттамасының дұрыс емес донорлық механизмінен туындады, бұл қайырымдылықты тиісті медициналық тексерусіз орындауға мүмкіндік берді. Код Euler Finance экожүйесіне бірқатар өзгерістер енгізген eIP-14 протоколында енгізілді. 

Euler Finance пайдаланушыларға бір транзакцияда активтерді шығару және депозитке салу арқылы жасанды левередж жасауға мүмкіндік береді. Бұл механизм пайдаланушыларға Euler Finance иелігіндегі кепілдікке қарағанда көбірек белгілерді шығаруға мүмкіндік берді. Жаңа механизм пайдаланушыларға өздерінің балансын олар транзакция жасаған маркердің резервтік балансына беруге мүмкіндік берді. Дегенмен, ол қайырымдылықты жүзеге асыратын шоттағы денсаулықты тексерудің кез келген түрін орындай алмады. 

Осалдық қалай пайдаланылды 

Қайырымдылық пайдаланушының қарызын (DToken) өзгеріссіз қалдырған болар еді. Дегенмен, олардың меншікті капиталы (EToken) балансы төмендейді. Осы сәтте пайдаланушының есептік жазбасын жою Dtokens бөлігінің қалған бөлігіне әкеледі, бұл үмітсіз қарыздың пайда болуына әкеледі. Бұл кемшілік шабуылдаушыға шамадан тыс левередж позициясын жасауға мүмкіндік берді, содан кейін оны жасанды түрде «су астына» түсіру арқылы сол блокта оны жоюға мүмкіндік берді.

Хакер өзін-өзі жойған кезде пайыздық жеңілдік қолданылады, бұл таратушы EToken бірліктерінің айтарлықтай бөлігін жеңілдікпен алады және олардың «су үстінде» болатынына кепілдік береді, бұл сатып алынған кепілге сәйкес келетін қарызды көтереді. Бұл нашар берешегі бар бұзушыға (DTokens) және олардың берешегін шамадан тыс қамтамасыз етуге ие таратушыға әкеледі. 

Omniscia осалдықтың негізінде жатқан мүмкіндік фирма жүргізген аудиттердің ауқымында емес екенін айтты. Талдауға сәйкес, үшінші тарап аудиті қарастырылып жатқан кодексті қарауға жауапты болды, содан кейін ол бекітілді. donateToReserves функциясын Шерлок командасы 2022 жылдың шілдесінде тексерді. Эйлер мен Шерлок сонымен қатар эксплуатация орын алған кезде Шерлокпен белсенді қамту саясаты болғанын растады. 

Euler Finance Қауіпсіздік топтарымен жұмыс істеу 

Эксплуатациядан кейін, Эйлер қаржысы хаттаманың басқа қауіпсіздік топтарымен қосымша тексерулер жүргізу үшін жұмыс істейтінін айтты. Сонымен қатар, ол ұрланған қаражатты қайтарып алу үшін құқық қорғау органдары мен органдармен де байланысқа шыққанын мәлімдеді. 

«Бұл шабуылдың Эйлер хаттамасын пайдаланушыларға тигізген әсері бізді қатты қинады және оны мүмкіндігінше шешу үшін қауіпсіздік саласындағы серіктестерімізбен, құқық қорғау органдарымен және кеңірек қоғамдастықпен жұмыс істеуді жалғастырамыз. Қолдауларыңыз бен жігерлеріңіз үшін көп рахмет».

Жауапкершіліктен бас тарту: Бұл мақала тек ақпараттық мақсатта ұсынылған. Ол заңдық, салықтық, инвестициялық, қаржылық немесе басқа кеңестер ретінде ұсынылмайды немесе пайдалануға арналмаған.