تقنية

يكشف موقع Euler Finance Hack بعد الوفاة عن ضعف عمره 8 أشهر

03/15/2023
أخبار Bitcoin Ethereum

كشفت عملية تشريح لاستغلال القرض السريع لشركة Euler Finance بعد الوفاة أن الثغرة في جذر برمجية إكسبلويت ظلت في السلسلة لمدة 8 أشهر. 

نتيجة للضعف ، خسرت شركة Euler Finance 200 مليون دولار في وقت سابق من هذا الأسبوع. 

صورة

ضعف عمره ثمانية أشهر 

أصدر شريك التدقيق في شركة Euler Finance ، Omniscia ، تقريرًا مفصلاً عن تشريح الجثة يحلل الثغرة الأمنية التي استغلها المتسللون في وقت سابق من الأسبوع. وفقًا لتقرير تشريح الجثة ، حدث الضعف من آلية التبرع غير الصحيحة لبروتوكول التمويل اللامركزي ، والتي سمحت بإجراء التبرعات دون فحص صحي مناسب. تم تقديم الكود في eIP-14 ، وهو بروتوكول قدم مجموعة من التغييرات في نظام Euler Finance البيئي. 

يتيح تمويل Euler للمستخدمين إنشاء رافعة مصطنعة عن طريق سك الأصول وإيداعها في نفس المعاملة. مكنت هذه الآلية المستخدمين من سك المزيد من الرموز المميزة أكثر من الضمانات التي تحتفظ بها شركة Euler Finance نفسها. سمحت الآلية الجديدة للمستخدمين بالتبرع برصيدهم للرصيد الاحتياطي للرمز الذي تعاملوا معه. ومع ذلك ، فشلت في إجراء أي نوع من الفحص الصحي على الحساب الذي يقوم بالتبرع. 

كيف تم استغلال الضعف 

كان من الممكن أن يتسبب التبرع في بقاء ديون المستخدم (DToken) دون تغيير. ومع ذلك ، فإن رصيدهم (EToken) سيشهد انخفاضًا. في هذه المرحلة ، قد تؤدي تصفية حساب المستخدم إلى بقاء جزء من Dtokens ، مما يؤدي إلى إنشاء ديون معدومة. سمح هذا الخلل للمهاجم بخلق موقع ذو رافعة مالية زائدة ومن ثم تصفيته بأنفسهم في نفس الكتلة عن طريق التسبب بشكل مصطنع في "غرقه تحت الماء".

عندما يقوم المتسلل بتصفية نفسه ، يتم تطبيق خصم على أساس النسبة المئوية ، مما يتسبب في تكبد المصفي جزءًا كبيرًا من وحدات EToken بخصم ويضمن أنها ستكون "فوق الماء" ، مما يؤدي إلى تحمل الديون التي من شأنها أن تتطابق مع الضمانات المكتسبة. قد ينتج عن ذلك وجود منتهك لديه ديون معدومة (DTokens) ومصفي لديه ضمانات مفرطة لديونهم. 

ذكرت Omniscia أن الميزة التي تكمن في قلب الثغرة لم تكن في نطاق أي عمليات تدقيق أجرتها الشركة. وفقًا للتحليل ، كان تدقيق الطرف الثالث مسؤولاً عن مراجعة الكود المعني ، والذي تمت الموافقة عليه بعد ذلك. تم تدقيق وظيفة donateToReserves في يوليو 2022 من قبل فريق Sherlock. أكد أويلر وشيرلوك أيضًا أن الأول كان لديه سياسة تغطية نشطة مع شيرلوك عند حدوث الاستغلال. 

Euler Finance تعمل مع مجموعات الأمان 

بعد الاستغلال ، تمويل أويلر ذكر أن البروتوكول كان يعمل مع مجموعات الأمان الأخرى لإجراء مزيد من عمليات التدقيق. بالإضافة إلى ذلك ، ذكرت أنها اتصلت أيضًا بمسؤولي ووكالات إنفاذ القانون في محاولة لاستعادة الأموال المسروقة. 

"لقد حطمنا تأثير هذا الهجوم على مستخدمي بروتوكول أويلر وسنواصل العمل مع شركائنا في مجال الأمن ، وسلطات إنفاذ القانون ، والمجتمع الأوسع لحل هذه المشكلة بأفضل ما في وسعنا. شكرا جزيلا لدعمكم وتشجيعكم ".

إخلاء المسؤولية: يتم توفير هذه المقالة لأغراض إعلامية فقط. لم يتم تقديمه أو الغرض منه استخدامه كنصائح قانونية أو ضريبية أو استثمارية أو مالية أو غيرها.

المصدر: https://cryptodaily.co.uk/2023/03/euler-finance-hack-postmortem-reveals-8-month-old-vulnerability