Euler Finance-ren flash mailegu-explotazioaren postmortem batek agerian utzi du ustiapenaren oinarrian zegoen ahultasuna katean egon zela 8 hilabetez.
Zaurgarritasunaren ondorioz, Euler Finance-k 200 milioi dolar galdu zituen aste honetan bertan.
Zortzi hilabeteko ahultasun bat
Euler Finance-ren auditoretzako bazkideak, Omniscia, aste hasieran hackerrek ustiatu zuten ahultasuna aztertzen duen autopsia-txosten zehatza kaleratu du. Mortem-eko txostenaren arabera, ahultasuna finantza-protokolo deszentralizatuaren dohaintza-mekanismo okerraren ondorioz gertatu zen, eta horrek baimendu zuen dohaintzak osasun-kontrol egokirik egin gabe egitea. Kodea eIP-14-n sartu zen, Euler Finance ekosisteman aldaketa ugari sartu zituen protokoloan.
Euler Finance-k erabiltzaileei palanka artifiziala sortzeko aukera ematen die transakzio berean aktiboak metatuz eta metatuz. Mekanismo horri esker, erabiltzaileek Euler Finance-k berak dituen bermeak baino token gehiago egiteko aukera izan zuten. Mekanismo berriak erabiltzaileei beren saldoa transakzionatu zuten tokenaren erreserba saldoari eman ahal izan die. Hala ere, ez zuen egin dohaintza egiten zuen kontuan inolako osasun-kontrolik.
Ahultasuna nola ustiatu zen
Dohaintzak erabiltzailearen zorra (DToken) aldatu gabe geratzea eragingo zuen. Hala ere, haien ondare-saldoak (EToken) murrizketa ikusiko luke. Une honetan, erabiltzailearen kontuaren likidazioak Dtokenen zati bat geraztea ekarriko luke, zor kobratuak sortuz. Akats horri esker, erasotzaileak gehiegizko posizio bat sortu zuen eta gero beraiek blokeatu zuen bloke berean, artifizialki "ur azpian" sartuz.
Hackerrak bere burua likidatzen duenean, ehunekoetan oinarritutako deskontua aplikatzen da, eta likidatzaileak EToken unitateen zati garrantzitsu bat deskontuarekin ordaintzea eta "uraren gainean" egongo direla bermatuko du, lortutako bermearekin bat egingo lukeen zorra sortuz. Honek zor txarreko urratzaile bat (DTokens) eta bere zorra gehiegizko berme bat duen likidatzaile bat eragingo luke.
Omniscia-k adierazi zuen ahultasunaren muinean zegoen ezaugarria ez zegoela enpresak egindako ikuskapenen esparruan. Azterketaren arabera, hirugarrenen auditoria bat arduratu zen kasuan kasuko kodearen berrikuspenaz, eta ondoren onartu zen. donateToReserves funtzioa 2022ko uztailean ikuskatu zuen Sherlock Taldeak. Euler-ek eta Sherlock-ek ere baieztatu zuten lehenak Sherlock-ekin estaldura-politika aktiboa zuela ustiaketa gertatu zenean.
Euler Finance Segurtasun Taldeekin Lan egiten
Explotazioaren ondoren, Euler Finantza adierazi zuen protokoloa beste segurtasun talde batzuekin lanean ari zela auditoretza gehiago egiteko. Gainera, lapurtutako funtsak berreskuratzeko asmoz, legea betearazteko funtzionarioekin eta agentziekin ere harremanetan jarri zela adierazi zuen.
"Euler protokoloaren erabiltzaileengan izandako eraso honek lur jota gaude eta gure segurtasun-kideekin, legea betearazteko eta komunitate zabalarekin lanean jarraituko dugu hau ahal dugun ondoen konpontzeko. Mila esker zuen laguntza eta animoengatik”.
Ezespena: Artikulu hau informazio helburuetarako soilik eskaintzen da. Ez da eskaintzen edo pentsatzeko lege, zerga, inbertsio, finantza edo bestelako aholku gisa erabiltzeko.
Iturria: https://cryptodaily.co.uk/2023/03/euler-finance-hack-postmortem-reveals-8-month-old-vulnerability