טק

Euler Finance Hack שלאחר המוות חושף פגיעות בת 8 חודשים

03/15/2023
חדשות Ethereum של ביטקוין

ניתוח שלאחר המוות של ניצול הלוואות הבזק של אוילר פיננסים גילה שהפגיעות בשורש הניצול נשארה בשרשרת במשך 8 חודשים. 

כתוצאה מהפגיעות, אוילר פיננסים הפסידה 200 מיליון דולר מוקדם יותר השבוע. 

תמונה

פגיעות בת שמונה חודשים 

שותפת הביקורת של אוילר פיננסים, Omniscia, פרסמה דו"ח מפורט שלאחר המוות המנתח את הפגיעות שהאקרים ניצלו מוקדם יותר השבוע. על פי דוח הנתיחה שלאחר המוות, הפגיעות נוצרה ממנגנון תרומות שגוי של פרוטוקול הפיננסים המבוזר, שאיפשר לבצע תרומות ללא בדיקת תקינות נאותה. הקוד הוצג ב-eIP-14, פרוטוקול שהציג מערך של שינויים במערכת האקולוגית של Euler Finance. 

Euler Finance מאפשר למשתמשים ליצור מינוף מלאכותי על ידי הטבעה והפקדת נכסים באותה עסקה. מנגנון זה איפשר למשתמשים להטביע יותר אסימונים מאשר הבטחונות שבידי אוילר פיננסים עצמה. המנגנון החדש איפשר למשתמשים לתרום את היתרה שלהם ליתרת הרזרבה של האסימון שאיתו עשו עסקה. עם זאת, היא לא הצליחה לבצע כל סוג של בדיקת תקינות בחשבון שביצע את התרומה. 

כיצד נוצלה הפגיעות 

התרומה הייתה גורמת לחוב המשתמש (DToken) להישאר ללא שינוי. עם זאת, יתרת ההון (EToken) שלהם תראה ירידה. בשלב זה, חיסול חשבון המשתמש יוביל לחלק מה-Dtokens שנותר, מה שיוביל ליצירת חוב אבוד. פגם זה אפשר לתוקף ליצור עמדה ממונפת יתר ולאחר מכן לחסל אותה בעצמו באותו בלוק על ידי גרימתו באופן מלאכותי ל"מתחת למים".

כאשר ההאקר מחסל את עצמו, מוחלת הנחה מבוססת אחוזים, מה שגורם למפרק לקבל חלק ניכר מיחידות EToken בהנחה ולהבטיח שהן יהיו "מעל המים", תוך ביצוע החוב שיתאים לבטוחות שנרכשו. זה יביא למפר עם חוב אבוד (DTokens) ולמפרק שיש לו בטחונות יתר של החוב שלהם. 

אומנישיה קבעה כי התכונה שעומדת בלב הפגיעות לא הייתה בהיקף הביקורת שבוצעה על ידי המשרד. על פי הניתוח, ביקורת צד שלישי הייתה אחראית לבדיקת הקוד המדובר, שאושרה אז. הפונקציה donateToReserves נבקרה ביולי 2022 על ידי צוות שרלוק. אוילר ושרלוק גם אישרו שלראשון הייתה מדיניות כיסוי פעילה עם שרלוק כאשר הניצול התרחש. 

אוילר פיננסים עבודה עם קבוצות אבטחה 

בעקבות הניצול, אוילר פיננסים ציין כי הפרוטוקול עובד עם קבוצות אבטחה אחרות כדי לבצע ביקורות נוספות. בנוסף, היא הצהירה כי היא גם יצרה קשר עם גורמי אכיפת חוק וסוכנויות במאמץ לשחזר את הכספים הגנובים. 

"אנחנו הרוסים מההשפעה של המתקפה הזו על משתמשי פרוטוקול אוילר ונמשיך לעבוד עם שותפי האבטחה שלנו, רשויות אכיפת החוק והקהילה הרחבה יותר כדי לפתור את זה כמיטב יכולתנו. תודה רבה על התמיכה והעידוד".

הצהרת אחריות: מאמר זה ניתן למטרות מידע בלבד. הוא אינו מוצע או מיועד לשמש כייעוץ משפטי, מס, השקעה, פיננסי או אחר.

מקור: https://cryptodaily.co.uk/2023/03/euler-finance-hack-postmortem-reveals-8-month-old-vulnerability