Euler Finance Hack Postmortem zbulon cenueshmërinë 8-muajshe

Një postmortem i shfrytëzimit të kredisë së shpejtë të Euler Finance ka zbuluar se dobësia në rrënjë të shfrytëzimit mbeti në zinxhir për 8 muaj. 

Si rezultat i cenueshmërisë, Euler Finance humbi 200 milionë dollarë në fillim të kësaj jave. 

Një cenueshmëri tetë muajshe 

Partneri auditues i Euler Finance, Omniscia, ka publikuar një raport të detajuar pas vdekjes që analizon cenueshmërinë që hakerët shfrytëzuan në fillim të javës. Sipas raportit postmortem, cenueshmëria ka ardhur nga mekanizmi i gabuar i dhurimit të protokollit të decentralizuar të financave, i cili lejonte që donacionet të kryheshin pa një kontroll të duhur shëndetësor. Kodi u prezantua në eIP-14, një protokoll që prezantoi një sërë ndryshimesh në ekosistemin Euler Finance. 

Euler Finance i lejon përdoruesit të krijojnë levë artificiale duke grumbulluar dhe depozituar aktive në të njëjtin transaksion. Ky mekanizëm u mundësoi përdoruesve të prodhonin më shumë token sesa kolaterali i mbajtur nga vetë Euler Finance. Mekanizmi i ri i lejoi përdoruesit të dhuronin bilancin e tyre në bilancin e rezervës së tokenit me të cilin kanë bërë transaksione. Megjithatë, ajo nuk ka kryer asnjë lloj kontrolli shëndetësor në llogarinë e kryerjes së dhurimit. 

Si u shfrytëzua dobësia 

Dhurimi do të kishte bërë që borxhi i përdoruesit (DToken) të mbetej i pandryshuar. Megjithatë, bilanci i kapitalit të tyre (EToken) do të pësonte një rënie. Në këtë pikë, një likuidim i llogarisë së përdoruesit do të çonte në mbetjen e një pjese të Dtokens, duke çuar në krijimin e borxhit të keq. Kjo e metë i lejoi sulmuesit të krijonte një pozicion të mbivlerësuar dhe më pas ta likuidonte vetë në të njëjtin bllok duke e bërë artificialisht të shkonte "nën ujë".

Kur hakeri likuidohet vetë, zbatohet një zbritje e bazuar në përqindje, duke bërë që likuiduesi të pësojë një pjesë të konsiderueshme të njësive EToken me një zbritje dhe të garantojë se ato do të ishin "mbi ujë", duke shkaktuar borxhin që do të përputhej me kolateralin e marrë. Kjo do të rezultonte në një shkelës me borxh të keq (DTokens) dhe një likuidues që ka një mbikolateralizim të borxhit të tyre. 

Omniscia deklaroi se tipari që qëndronte në zemër të cenueshmërisë nuk ishte në objektin e ndonjë auditimi të kryer nga firma. Sipas analizës, një auditim i palës së tretë ishte përgjegjës për rishikimin e kodit në fjalë, i cili më pas u miratua. Funksioni donateToReserves u auditua në korrik 2022 nga Ekipi Sherlock. Euler dhe Sherlock konfirmuan gjithashtu se i pari kishte një politikë aktive mbulimi me Sherlock kur ndodhi shfrytëzimi. 

Euler Finance Duke punuar me Grupet e Sigurisë 

Pas shfrytëzimit, Euler Finance deklaroi se protokolli po punonte me grupe të tjera sigurie për të kryer auditime të mëtejshme. Për më tepër, ajo deklaroi se kishte kontaktuar gjithashtu zyrtarë dhe agjenci të zbatimit të ligjit në një përpjekje për të rikuperuar fondet e vjedhura. 

“Ne jemi të shkatërruar nga efekti i këtij sulmi ndaj përdoruesve të protokollit Euler dhe do të vazhdojmë të punojmë me partnerët tanë të sigurisë, zbatimin e ligjit dhe komunitetin më të gjerë për ta zgjidhur këtë sa më mirë që mundemi. Faleminderit shumë për mbështetjen dhe inkurajimin tuaj.”

Përgjegjësia: Ky artikull është dhënë vetëm për qëllime informative. Nuk ofrohet ose synohet të përdoret si këshillë juridike, tatimore, investuese, financiare ose këshillë tjetër.