Euler Finance Hack Postmortem 8 айлык аялуулугун ачып берет

Эйлер Финанстын флеш кредиттик эксплуатациясынын өлүмүнөн кийинки изилдөө эксплуатациянын тамырындагы аялуу чынжырда 8 ай бою сакталып калганын көрсөттү. 

Алсыздыктын натыйжасында Эйлер Финанс ушул жуманын башында 200 миллион доллар жоготкон. 

Сегиз айлык аялуу 

Эйлер Финанстын аудит боюнча өнөктөшү Omniscia жуманын башында хакерлер пайдаланган алсыздыкты талдоочу деталдуу постмортем отчетун чыгарды. Өлгөндөн кийинки отчетко ылайык, аялуу борбордон ажыратылган каржылоо протоколунун туура эмес донордук механизминен келип чыккан, ал кайрымдуулуктарды ден соолугун тийиштүү текшерүүсүз жүргүзүүгө уруксат берген. Код Эйлер Финансы экосистемасына бир катар өзгөртүүлөрдү киргизген eIP-14 протоколуна киргизилген. 

Euler Finance колдонуучуларга бир эле транзакцияда активдерди казып алуу жана депозитке салуу аркылуу жасалма рычагдарды түзүүгө мүмкүндүк берет. Бул механизм колдонуучуларга Эйлер Финанстын күрөөсүнө караганда көбүрөөк токендерди чыгарууга мүмкүндүк берди. Жаңы механизм колдонуучуларга өз балансын алар менен транзакция кылган токендин резервдик балансына тартууга мүмкүндүк берди. Бирок, ал кайрымдуулук кылган эсептин ден соолугун текшерүүнүн эч кандай түрүн аткара алган жок. 

Алсыздык кантип пайдаланылган 

Кайрымдуулук колдонуучунун карызынын (DToken) өзгөрүүсүз калышына себеп болмок. Бирок, алардын өздүк (EToken) балансы азаймак. Бул учурда, колдонуучунун эсебин жоюу Dtokens бир бөлүгүн алып, жаман карыздын пайда болушуна алып келет. Бул кемчилик чабуулчуга ашыкча левередж позициясын түзүп, анан аны "суу астында" жасалма жол менен ошол эле блокто жоюуга мүмкүндүк берди.

Хакер өздөрүн жоюп салганда, пайыздык эсептик дисконт колдонулат, бул жоюучуга EToken бирдиктеринин олуттуу бөлүгүн арзандатуу менен алып, алар "суунун үстүндө" болоруна кепилдик берип, алынган күрөөгө дал келе турган карызды тартат. Бул жаман карызы бар бузуучуга (DTokens) жана карызын ашыкча күрөөгө койгон жоюуга алып келет. 

Omniscia алсыздыктын өзөгүн түзгөн өзгөчөлүк фирма тарабынан жүргүзүлгөн аудиттин алкагында эмес экенин билдирди. Анализге ылайык, үчүнчү тараптын аудити каралып жаткан кодекстин каралышы үчүн жооптуу болуп, андан кийин бекитилди. donateToReserves функциясы 2022-жылдын июлунда Шерлок командасы тарабынан текшерилген. Эйлер менен Шерлок ошондой эле эксплуатация болгон кезде биринчиси Шерлок менен активдүү камтуу саясаты болгонун тастыкташты. 

Эйлер Финансы Коопсуздук топтору менен иштөө 

Эксплуатациядан кийин, Эйлер Финансы протокол башка коопсуздук топтору менен мындан аркы текшерүүлөрдү жүргүзүү үчүн иштеп жатканын билдирди. Мындан тышкары, ал уурдалган акчаны кайтарып алуу үчүн укук коргоо органдарына жана мекемелерине да кайрылганын билдирди. 

«Биз Эйлер протоколунун колдонуучуларына болгон бул чабуулдун кесепети менен капаландык жана муну колдон келишинче чечүү үчүн коопсуздук боюнча өнөктөштөр, укук коргоо органдары жана кеңири коомчулук менен иштешүүнү улантабыз. Колдооңуз жана дем-күч бергениңиз үчүн чоң рахмат”.

Эскертүү: Бул макала маалымат берүү максатында гана берилген. Ал юридикалык, салыктык, инвестициялык, каржылык жана башка кеңештер катары колдонулбайт же колдонулбайт.