فن آوری

اویلر فایننس هک پس از مرگ آسیب پذیری 8 ماهه را نشان می دهد

03/15/2023
اخبار بیت کوین اتریوم

پس از مرگ بهره برداری از وام فوری اویلر فاینانس نشان داد که آسیب پذیری در ریشه این اکسپلویت به مدت 8 ماه در زنجیره باقی مانده است. 

در نتیجه این آسیب پذیری، اوایلر فایننس 200 میلیون دلار در اوایل این هفته از دست داد. 

تصویر

آسیب پذیری هشت ماهه 

شریک حسابرسی Euler Finance، Omniscia، گزارش مفصلی را منتشر کرده است که آسیب‌پذیری‌هایی را که هکرها در اوایل هفته از آن سوء استفاده کردند، تجزیه و تحلیل می‌کند. بر اساس گزارش پس از مرگ، این آسیب‌پذیری ناشی از مکانیسم اهدای نادرست پروتکل مالی غیرمتمرکز است که اجازه می‌دهد اهداها بدون بررسی بهداشتی مناسب انجام شوند. این کد در eIP-14 معرفی شد، پروتکلی که مجموعه ای از تغییرات را در اکوسیستم مالی اویلر معرفی کرد. 

Euler Finance به کاربران این امکان را می دهد که با ضرب کردن و سپرده گذاری دارایی ها در یک معامله، اهرم مصنوعی ایجاد کنند. این مکانیسم کاربران را قادر می‌سازد تا توکن‌های بیشتری نسبت به وثیقه‌ای که توسط خود اویلر فاینانس نگهداری می‌شود، ضرب کنند. مکانیسم جدید به کاربران این امکان را می‌دهد که موجودی خود را به موجودی ذخیره توکنی که با آن معامله کرده‌اند اهدا کنند. با این حال، هیچ نوع بررسی سلامتی را در حساب انجام دهنده اهدا انجام نداد. 

چگونه از آسیب پذیری سوء استفاده شد 

این کمک مالی باعث می شد که بدهی کاربر (DToken) بدون تغییر باقی بماند. با این حال، مانده سهام آنها (EToken) کاهش می یابد. در این مرحله، انحلال حساب کاربر منجر به باقی ماندن بخشی از Dtoken ها می شود که منجر به ایجاد بدهی بد می شود. این نقص به مهاجم این امکان را می‌دهد تا موقعیتی با اهرم بیش از حد ایجاد کند و سپس با ایجاد مصنوعی «زیر آب» آن را در همان بلوک از بین ببرد.

وقتی هکر خودش را منحل می‌کند، یک تخفیف مبتنی بر درصد اعمال می‌شود، که باعث می‌شود مدیر تصفیه بخش قابل‌توجهی از واحدهای EToken را با تخفیف متحمل شود و تضمین کند که آنها «بالاتر از آب» هستند، و متحمل بدهی‌هایی می‌شوند که با وثیقه به دست آمده مطابقت دارد. این منجر به یک متخلف با بدهی بد (DTokens) و یک مدیر تصفیه می شود که بدهی خود را بیش از حد وثیقه دارد. 

Omniscia اظهار داشت که ویژگی ای که در قلب آسیب پذیری قرار دارد در محدوده هیچ یک از ممیزی های انجام شده توسط شرکت نیست. با توجه به تجزیه و تحلیل، یک حسابرسی شخص ثالث مسئول بررسی کد مورد نظر بود که سپس تایید شد. تابع donateToReserves در جولای 2022 توسط تیم شرلوک ممیزی شد. اویلر و شرلوک همچنین تأیید کردند که اولی یک خط مشی پوشش فعال با شرلوک در زمان وقوع سوء استفاده داشته است. 

اویلر فاینانس با گروه های امنیتی کار می کند 

به دنبال بهره برداری، اویلر فاینانس بیان کرد که پروتکل با سایر گروه های امنیتی برای انجام ممیزی های بیشتر کار می کند. علاوه بر این، اعلام کرد که در تلاش برای بازیابی وجوه دزدیده شده با مقامات مجری قانون و سازمان‌ها تماس گرفته است. 

ما از تأثیر این حمله بر روی کاربران پروتکل اویلر ویران شده‌ایم و به همکاری با شرکای امنیتی خود، مجری قانون و جامعه گسترده‌تر برای حل این مشکل به بهترین شکل ممکن ادامه خواهیم داد. از حمایت و تشویق شما بسیار سپاسگزارم.»

سلب مسئولیت: این مقاله فقط برای اطلاع رسانی ارائه شده است. به عنوان مشاوره حقوقی ، مالیاتی ، سرمایه گذاری ، مالی یا سایر موارد ارائه یا در نظر گرفته نشده است.

منبع: https://cryptodaily.co.uk/2023/03/euler-finance-hack-postmortem-reveals-8-month-old-vulnerability